脆弱性  ·  2026-07-17

Repomix — 未検証の --remote-branch パラメータを介した Git オプションインジェクション

脆弱性Medium 影響度GlobalCVE-2026-49987
Repomix の shallow-clone ヘルパーは、ユーザーが制御可能なブランチ名パラメータを git コマンドに渡す前にサニタイズしなかったため、git オプションインジェクションが可能になりました。
Repomix は開発者がリポジトリコンテンツを LLM コンテキストウィンドウ用にパッケージ化するために広く使用されています。AI ツーリングパイプラインのクローンステップ中にオプションインジェクションが発生すると、信頼されていないサードパーティリポジトリをパッキングするときにコード実行につながる可能性があります。
src/core/git/gitCommand.ts の execGitShallowClone 関数は、--remote-branch 値を検証またはオプション終了セパレータなしで git fetch と git checkout に直接渡します。これにより、攻撃者が提供したブランチ名が --upload-pack などの追加 git オプションを挿入でき、クローン中のコマンド実行につながる可能性があります。
Repomix 1.14.1 より前のバージョン
Repomix 1.14.1 以降にアップグレードしてください。
NVD CVE-2026-49987
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →