从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 名称:Command Injection vulnerability in - 描述:ggit 描述自己为“Local promise-returning git command wrappers”。 2. 资源: - 项目 GitHub 源代码:https://github.com/bahmutov/ggit - 项目 npm 包:https://www.npmjs.com/package/ggit 3. 背景和利用: - 背景:报告了 ggit npm 包中的命令注入漏洞。 - 利用: - 漏洞利用:利用 ggit 的 API,允许用户输入指定要拉取的分支,并将其与 git 命令拼接,然后传递给不安全的 Node.js 子进程 API。 - 利用步骤: 1. 安装 或更早版本。 2. 设置以下 POC: 3. 观察磁盘上创建的新文件位于 。 4. 作者: - Liran Tal 这些信息详细描述了 ggit 中的命令注入漏洞,包括漏洞的利用方法和作者。