CVE-2025-11148

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-11148
All versions of the package check-branches are vulnerable to Command Injection check-branches is a command-line tool that is interacted with locally, or via CI, to confirm no conflicts exist in git branches. However, the library follows these conventions which can be abused: 1. It trusts branch names as they are (plain text) 2. It spawns git commands by concatenating user input Since a branch name is potentially a user input - as users can create branches remotely via pull requests, or simply due to privileged access to a repository - it can effectively be abused to run any command.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://gist.github.com/lirantal/054b4ad039a86c418f2c84e3e884d6ec
https://security.snyk.io/vuln/SNYK-JS-CHECKBRANCHES-2766494
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Todas las versiones del paquete check-branches son vulnerables a Inyección de comandos. check-branches es una herramienta de línea de comandos con la que se interactúa localmente, o a través de CI, para confirmar que no existen conflictos en las ramas de git. Sin embargo, la biblioteca sigue estas convenciones que pueden ser explotadas: 1. Confía en los nombres de las ramas tal como están (texto plano) 2. Genera comandos de git concatenando la entrada del usuario Dado que el nombre de una rama es potencialmente una entrada de usuario - ya que los usuarios pueden crear ramas de forma remota a través de solicitudes de extracción (pull requests), o simplemente debido a un acceso privilegiado a un repositorio - puede ser explotado eficazmente para ejecutar cualquier comando.

30 Sep 2025, 11:37

Type Values Removed Values Added
New CVE
Information

Published : 2025-09-30 11:37

Updated : 2026-04-15 00:35

NVD link : CVE-2025-11148

Mitre link : CVE-2025-11148

CVE.ORG link : CVE-2025-11148

JSON object : View

Products Affected

No product.

CWE
CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')