В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2026-00173, описывающая критическую уязвимость в популярном инструменте для разработчиков. Речь идет о библиотеке "git-commiters" для экосистемы Node.js. Эта уязвимость, получившая идентификатор CVE-2025-59831, позволяет злоумышленнику, действующему удаленно, выполнить произвольные команды на атакуемой системе. Эксперты оценивают угрозу как критическую, поскольку для эксплуатации не требуется ни аутентификации, ни взаимодействия с пользователем.
Детали уязвимости
Уязвимость затрагивает все версии пакета "git-commiters" вплоть до 0.1.2. Она относится к классу инъекций команд операционной системы. Технически проблема коренится в отсутствии надлежащей очистки входных данных. Другими словами, библиотека некорректно обрабатывает пользовательский ввод, что позволяет внедрить и выполнить вредоносные команды. В терминах общего перечня слабостей CWE ошибка классифицируется как CWE-77 и CWE-78.
Высокий уровень опасности подтверждается оценками по системе CVSS. Базовая оценка по версии 2.0 достигает максимального значения 10.0. Оценка по актуальной версии CVSS 3.1 составляет 9.8 баллов из 10, что соответствует критическому уровню. Даже по обновленному стандарту CVSS 4.0 угроза оценивается в 8.7 балла, оставаясь в категории высокого риска. Такие показатели означают, что уязвимость легко эксплуатируется через сеть и может привести к полному компрометированию целевой системы.
Главная опасность заключается в том, что злоумышленник может получить полный контроль над сервером или рабочей станцией, где используется уязвимая версия библиотеки. Это открывает путь для кражи конфиденциальных данных, установки вредоносного программного обеспечения, такого как ransomware (программа-вымогатель), или создания точки постоянного доступа (persistence) в инфраструктуре жертвы. Учитывая, что эксплойт для данной уязвимости уже существует в открытом доступе, риск массовых атак значительно возрастает.
Производитель, сообщество разработчиков на GitHub, оперативно отреагировал на обнаруженную проблему. Уязвимость была подтверждена, и выпущено исправление. Мерой по устранению является обязательное обновление пакета "git-commiters" до версии, следующей за 0.1.2. Разработчики, использующие эту библиотеку в своих проектах, должны немедленно проверить зависимости и применить патч. Актуальные рекомендации и ссылка на коммит с исправлением опубликованы в репозитории проекта на GitHub.
Для специалистов по безопасности данный инцидент служит очередным напоминанием о критической важности управления зависимостями в современной разработке. Даже небольшие вспомогательные библиотеки, часто добавляемые автоматически, могут стать вектором для серьезной атаки. Необходимо регулярно проводить аудит используемых пакетов, отслеживать уязвимости в таких базах, как BDU, и оперативно применять обновления.
Таким образом, уязвимость CVE-2025-59831 в пакете "git-commiters" представляет собой существенную угрозу. Её критичность обусловлена простотой эксплуатации и тяжестью потенциальных последствий. Организациям и отдельным разработчикам рекомендуется безотлагательно предпринять шаги по обновлению, чтобы минимизировать риск успешной кибератаки и защитить свои системы от удаленного выполнения кода.
Ссылки
- https://bdu.fstec.ru/vul/2026-00173
- https://www.cve.org/CVERecord?id=CVE-2025-59831
- https://github.com/snowyu/git-commiters.js/security/advisories/GHSA-g38c-wxjf-xrh6
- https://github.com/snowyu/git-commiters.js/commit/7f0abfedbf506e3a61ac875d91324a8dbe756e84
