Summary
config.toml의 [hooks] post_create 에 정의된 셸 명령어가 워크트리 생성 시 확인 없이 자동 실행됩니다. 악의적인 config 파일을 공유받을 경우 임의 명령어 실행이 가능합니다.
Proposed Solution
- 최초 실행 시 사용자에게 확인 프롬프트 표시
- 또는 allowlist 기반으로 허용된 명령어만 실행
--yes 플래그로 CI 환경에서는 skip 가능하게
Severity
CRITICAL — arbitrary command execution
Labels
type/bug, priority/high
Summary
config.toml의[hooks] post_create에 정의된 셸 명령어가 워크트리 생성 시 확인 없이 자동 실행됩니다. 악의적인 config 파일을 공유받을 경우 임의 명령어 실행이 가능합니다.Proposed Solution
--yes플래그로 CI 환경에서는 skip 가능하게Severity
CRITICAL — arbitrary command execution
Labels
type/bug, priority/high