repomix - Local File Inclusion via file:// URL Scheme in Git Clone Endpoint 漏洞概述 repomix 包含一个本地文件包含漏洞,该漏洞存在于 git clone 端点中,允许未经身份验证的攻击者读取任意本地 git 仓库。 函数在 中未能阻止 URLs,允许攻击者提供绕过验证并直接传递给 git clone 的 方案 URLs,从而实现对服务器文件系统中所有跟踪文件内容的未授权访问。 影响范围 repomix < 1.14.1,修复在 commit c748b52 修复方案 升级到 repomix 1.14.1 或更高版本,该版本在 commit c748b52 中修复了此漏洞。 参考链接 GitHub Issue Product Patch Commit 其他信息 严重性: HIGH 日期: 7/8/2026 CVE: CVE-2026-59703 CWE: CWE-552 Files or Directories Accessible to External Parties. CVSS: 8.7 CVSS V4 VECTOR: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VH:N/VA:N/SC:N/SI:N/SA:N CREDIT: George Chen