GitPython 路径遍历漏洞总结 漏洞概述 GitPython 的引用 API(Reference APIs)存在路径遍历漏洞。攻击者可以通过构造恶意的引用路径,在应用使用 GitPython 时,向仓库的 目录之外写入、覆盖、移动或删除文件。 漏洞类型: 路径遍历导致任意文件写入和任意文件删除 严重程度: 中等 (Moderate) CVE ID: CVE-2025-44243 影响范围 受影响版本: GitPython (pip) 版本 受影响用户: 将 GitPython 引用操作暴露给用户可控输入的应用程序、Git 自动化服务、仓库管理后端、CI/CD 助手及开发者平台。 攻击向量: 本地攻击,通过应用程序控制的输入传递给 GitPython 引用 API。 认证要求: 库边界无需认证,但在实践中需要能够影响供消费应用程序使用的引用名称。 修复方案 修复版本: 推荐修复代码: 概念验证 (POC) 代码