CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-49013

Critical
Published: Translated: NVD NIST

Summary

W WilderForge zidentyfikowano krytyczną podatność w wielu projektach, wynikającą z niebezpiecznego użycia zmiennych kontrolowanych przez użytkownika w kontekście skryptów powłoki w GitHub Actions. Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu, co prowadzi do wykonania dowolnych poleceń w kontekście uprawnień workflow.

Risk Assessment

Podatność ta może prowadzić do kompromitacji infrastruktury CI, tajemnic oraz wyników budowy, co stwarza poważne zagrożenie dla organizacji. Wykonanie złośliwego kodu może mieć daleko idące konsekwencje dla bezpieczeństwa systemów.

Recommendation

Zaleca się przegląd i zabezpieczenie skryptów w GitHub Actions, aby unikać użycia zmiennych kontrolowanych przez użytkownika w kontekście powłoki. Należy również przeprowadzić audyt repozytoriów związanych z WilderForge w celu identyfikacji i naprawy potencjalnych luk.

Original NVD description (English source)

WilderForge is a Wildermyth coremodding API. A critical vulnerability has been identified in multiple projects across the WilderForge organization. The issue arises from unsafe usage of `${{ github.event.review.body }}` and other user controlled variables directly inside shell script contexts in GitHub Actions workflows. This introduces a code injection vulnerability: a malicious actor submitting a crafted pull request review containing shell metacharacters or commands could execute arbitrary shell code on the GitHub Actions runner. This can lead to arbitrary command execution with the permissions of the workflow, potentially compromising CI infrastructure, secrets, and build outputs. Developers who maintain or contribute to the repos WilderForge/WilderForge, WilderForge/ExampleMod, WilderForge/WilderWorkspace, WilderForge/WildermythGameProvider, WilderForge/AutoSplitter, WilderForge/SpASM, WilderForge/thrixlvault, WilderForge/MassHash, and/or WilderForge/DLC_Disabler; as well as users

Vulnerability data from NVD (NIST) · CISA KEV · EPSS