CVE-2025-59046 — 神龙十问 AI 深度分析摘要

🚨 **本质**：命令注入漏洞 (Command Injection) 💥 **后果**：攻击者可执行任意系统命令，彻底接管软件运行环境。

🔍 **CWE**：CWE-77 (命令注入) 🐛 **缺陷**：未对 **分支名称** 进行输入验证或清理，直接拼接执行。

📦 **产品**：interactive-git-checkout 👤 **厂商**：ninofiliu (个人开发者) ⚠️ **版本**：**1.1.4 及之前版本** 均受影响。

👑 **权限**：高 (CVSS 3.1 评分极高) 📂 **数据**：完全可控，可读取/修改任意文件，甚至反弹 Shell。

📉 **门槛**：极低 🔓 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络可达即可利用。

🚫 **Exp**：数据中未提供现成 PoC 或 POC 链接。 🌍 **在野**：暂无公开在野利用报告。

🔎 **自查**：检查是否安装 `interactive-git-checkout` 且版本 ≤ 1.1.4。 📝 **特征**：关注软件处理 Git 分支名时的日志或行为。

✅ **状态**：已修复。 🔗 **补丁**：参考 GitHub Advisory (GHSA-4wcm-7hjf-6xw5) 及 Commit 8dd832d。

🛡️ **规避**：升级至修复版本。 ⚠️ **临时**：若无法升级，**严禁**输入包含特殊字符 (如 `;`, `|`, `$()`) 的分支名。

🔥 **优先级**：**紧急** 💡 **建议**：CVSS 向量显示影响完整性、机密性和可用性，建议 **立即升级**。