近日，嘉诚安全监测到CNNVD官方发布了Git Shell 任意代码执行漏洞的安全风险通告，漏洞编号为：CNNVD-202210-1260（CVE-2022-39260）。

Git Shell是一个受限的登录shell ，仅用于通过SSH实现Git的 push/pull功能。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

Git shell 中使用 split_cmdline() 函数将参数拆分为数组，此函数不恰当地使用 int 表示数组的长度，可导致任意堆写入，由于生成的数组随后被传递给 execv() 函数，因此可以利用这种攻击在受害机器上远程执行代码。

通用修复建议：

根据影响版本中的信息，建议相关用户尽快更新至安全版本。

缓解方案：

1.禁止 git shell 远程登录访问

2.删除 git-shell-commands 目录