CVE-2026-42215

Fiche CVE

Python / pip Injection de commande

Injection de commande dans gitpython-developers GitPython

Cette faille peut permettre à un attaquant de faire exécuter des commandes système non prévues par gitpython-developers GitPython, gitpython_project gitpython.

solution disponible élevé

Détection 100/100 Remédiation 85/100

Catégorisation Python / pip

Injection de commande

Que font les attaquants ? Scénario type

Cette faille peut permettre à un attaquant de faire exécuter des commandes système non prévues par gitpython-developers GitPython, gitpython_project gitpython.

Risque si non traité élevé

Le risque est élevé car le périmètre d’impact peut dépasser l’application et toucher l’hôte sous-jacent.

Vous êtes potentiellement concerné si vous exploitez gitpython-developers GitPython dans l’une des versions ou branches suivantes : >= 3.1.30, < 3.1.47. Détection possible en vérifiant la présence des produits affectés gitpython-developers / GitPython, gitpython_project / gitpython, PyPI / gitpython. Contrôler les versions et l'exposition des composants référencés.

Éditeur	Produit	Écosystème	Versions connues
gitpython-developers	GitPython	n/d	>= 3.1.30, < 3.1.47
gitpython_project	gitpython	cpe	n/d
PyPI	gitpython	PyPI	3.1.30, 3.1.31, 3.1.32, 3.1.33, 3.1.34, 3.1.35, 3.1.36, 3.1.37, 3.1.38, 3.1.40, 3.1.41, 3.1.42, 3.1.43, 3.1.44, 3.1.45, 3.1.46
pip	GitPython	pip	3.1.47

Étape 1
Identifiez les instances de gitpython-developers GitPython présentes dans votre périmètre.
Étape 2
Validez si vos versions déployées correspondent aux branches affectées et si le composant est réellement exposé.
Étape 3
Appliquez une mise à jour vers une version corrigée, par exemple : 3.1.47.
Étape 4
Si une mise à jour immédiate n’est pas possible, réduisez l’exposition du composant et renforcez la surveillance applicative.
Étape 5
Détection possible en vérifiant la présence des produits affectés gitpython-developers / GitPython, gitpython_project / gitpython, PyPI / gitpython. Contrôler les versions et l'exposition des composants référencés.

Confirmation confirmée

CVE confirmée par une source officielle.

Détection disponible

Détection possible en vérifiant la présence des produits affectés gitpython-developers / GitPython, gitpython_project / gitpython, PyPI / gitpython. Contrôler les versions et l'exposition des composants référencés.

Remédiation solution disponible

Version corrigée publiée : 3.1.47.

2026-05-11 17:45 UTC Dernière mise à jour connue mise_a_jour
2026-05-07 18:17 UTC Publication de la CVE publication
2026-04-25 23:42 UTC Version corrigée publiée : 3.1.47. solution_available

Publication: 2026-05-07 18:17 UTC
Dernière mise à jour: 2026-05-11 17:45 UTC
Première détection locale: 2026-05-16 16:58 UTC
Dernier traitement: 2026-05-16 16:58 UTC
Score: 8.8
Source score: NVD cvssMetricV31
Publication fiche: 2026-05-16 16:58 UTC

Référence technique

CVE.org consultée le 2026-05-16 16:58 UTC
NVD consultée le 2026-05-16 16:58 UTC
GitHub Advisory Database consultée le 2026-05-16 16:58 UTC
OSV.dev consultée le 2026-05-16 16:58 UTC

https://github.com/gitpython-developers/GitPython/security/advisories/GHSA-rpm5-65cw-6hj4 x_refsource_CONFIRM
https://github.com/gitpython-developers/GitPython/releases/tag/3.1.47 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2026-42215 ADVISORY
https://github.com/gitpython-developers/GitPython PACKAGE
https://github.com/advisories/GHSA-rpm5-65cw-6hj4 Vendor Advisory

CVE-2026-42215

CVE-2026-42215

Résumé opérationnel

Vérification d’impact

Procédure recommandée

Qualification et chronologie