CVE-2025-59046

CRÍTIC (9,8)

CVSS3: 0,0

El paquet npm ‘interactive-git-checkout’ és una eina interactiva de línia d’ordres que permet que els usuaris facin el checkout d’una branca git mentre es demana el nom de la branca a la línia d’ordres. Està disponible com a paquet npm i es pot instal·lar mitjançant ‘npm install -g interactive-git-checkout. Les versions fins a la 1.1.4 inclosa de l’eina ‘interactive-git-checkout’ són vulnerables a una injecció d’ordres perquè el programari passa el nom de la branca a l’ordre ‘git checkout’ mitjançant la funció ‘exec()’ del mòdul de procés fill de Node.js sense una validació o sanejament d’entrada adequats.

Sistemes Afectats

• ninofiliu interactive-git-checkout

Remediació
El commit 8dd832dd302af287a61611f4f85e157cd1c6bb41 soluciona el problema. Vegeu-ne les referències.

Referències

• https://github.com/ninofiliu/interactive-git-checkout/security/advisories/GHSA-4wcm-7hjf-6xw5
• https://github.com/ninofiliu/interactive-git-checkout/commit/8dd832dd302af287a61611f4f85e157cd1c6bb41
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/59xxx/CVE-2025-59046.json