В Банке данных угроз безопасности информации (BDU) зарегистрировали новую критическую уязвимость. Она затрагивает популярную библиотеку simple-git для программной платформы Node.js. Проблема получила идентификатор BDU:2026-05839, а также закреплена в международной базе CVE под номером CVE-2026-6951. Речь идет об ошибке типа «неверное управление генерацией кода», которая относится к классу внедрения кода (CWE-94). Эксплуатация этой уязвимости позволяет злоумышленнику, действующему удаленно, изменить конфигурацию уязвимого программного обеспечения и выполнить произвольный код.
Детали уязвимости
Библиотека simple-git представляет собой обертку для работы с Git из Node.js. Ее активно используют разработчики, автоматизирующие операции контроля версий в своих проектах. Уязвимость затрагивает все версии библиотеки до 3.36.0 включительно. Производитель уже подтвердил проблему и выпустил исправление. К сожалению, в открытом доступе существует готовый эксплойт, что значительно повышает риски для систем, не получивших обновление.
Специалисты по безопасности оценили уровень опасности как критический. Базовая оценка по версии CVSS 2.0 составила десять баллов - максимально возможное значение. В свою очередь, по версии CVSS 3.1 показатель достиг 9,8 балла. Эти цифры говорят о необходимости немедленного реагирования. Вектор атаки выглядит следующим образом: атака возможна по сети, не требует аутентификации и каких‑либо действий со стороны жертвы. Успешная эксплуатация приводит к полному нарушению конфиденциальности, целостности и доступности данных.
Способ эксплуатации классифицируют как инъекцию. Злоумышленник отправляет специально сформированный запрос, который заставляет библиотеку интерпретировать вредоносную команду как часть легитимной операции Git. В результате происходит выполнение произвольного кода с правами процесса, запустившего simple-git. Это может привести к несанкционированному доступу к файловой системе, краже учетных данных или полному контролю над серверным приложением.
К счастью, разработчики библиотеки оперативно отреагировали на инцидент. Уязвимость устранили в версии 3.36.0, которая уже доступна для загрузки. Пользователям и администраторам систем, использующих simple-git, настоятельно рекомендуют как можно скорее обновить зависимость. Однако в связи со сложившейся геополитической обстановкой и введёнными санкциями против Российской Федерации эксперты советуют устанавливать обновления только после оценки всех сопутствующих рисков. В первую очередь стоит проверить подлинность полученного релиза и убедиться, что он исходит из доверенного источника.
Разработчикам также стоит обратить внимание на исходный код коммита, который устраняет проблему. Его можно найти в официальном репозитории проекта по ссылке, указанной в бюллетене BDU. Вместе с тем необходимо подчеркнуть, что данная уязвимость не является единичным случаем. Подобные ошибки регулярно возникают в популярных библиотеках с открытым исходным кодом. Поэтому сообществу разработчиков стоит уделять повышенное внимание аудиту зависимостей и своевременно реагировать на появление исправлений. Использование автоматических систем сканирования уязвимостей в конвейере CI/CD может существенно снизить риски.
Таким образом, критическая уязвимость в simple-git требует немедленных действий от всех, кто применяет эту библиотеку. Производитель уже выпустил исправление, и теперь дело за пользователями. Промедление с обновлением может привести к компрометации приложений и утечке данных. Отдельно отметим, что наличие публичного эксплойта делает ситуацию особенно опасной. Атаки могут начаться в любой момент, поэтому лучше не откладывать установку патча на потом.
Ссылки
- https://bdu.fstec.ru/vul/2026-05839
- https://www.cve.org/CVERecord?id=CVE-2026-6951
- https://github.com/steveukx/git-js/commit/89a2294febed5dfe737c4c735d936bb6018746a8
- https://gist.github.com/KKC73/02d1d97f3410756095b501fda0ac8ca6
