CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-31976

Critical
Published: Translated: NVD NIST

Summary

Podatność CVE-2026-31976 dotyczy GitHub Action dla Xygeni Scanner, gdzie atakujący wykorzystał skompromitowane dane uwierzytelniające do wstrzyknięcia obfuskowanego kodu powłoki do pliku action.yml. Chociaż wnioski o pull requesty zostały zablokowane przez zasady ochrony gałęzi, atakujący zmienił tag v5, aby wskazywał na złośliwy commit, co umożliwiło wykonanie złośliwego kodu w workflow.

Risk Assessment

Organizacja jest narażona na poważne ryzyko, ponieważ każdy workflow korzystający z xygeni/xygeni-action@v5 w okresie od 3 do 10 marca 2026 roku mógł wykonać złośliwy kod, co prowadziło do nieautoryzowanego wykonania poleceń na runnerze CI.

Recommendation

Zaleca się natychmiastowe zaktualizowanie tagu do wersji, która nie jest zainfekowana oraz przeprowadzenie audytu użycia GitHub Actions w celu wykrycia i usunięcia potencjalnych zagrożeń związanych z tą podatnością.

Original NVD description (English source)

xygeni-action is the GitHub Action for Xygeni Scanner. On March 3, 2026, an attacker with access to compromised credentials created a series of pull requests (#46, #47, #48) injecting obfuscated shell code into action.yml. The PRs were blocked by branch protection rules and never merged into the main branch. However, the attacker used the compromised GitHub App credentials to move the mutable v5 tag to point at the malicious commit (4bf1d4e19ad81a3e8d4063755ae0f482dd3baf12) from one of the unmerged PRs. This commit remained in the repository's git object store, and any workflow referencing @v5 would fetch and execute it. This is a supply chain compromise via tag poisoning. Any GitHub Actions workflow referencing xygeni/xygeni-action@v5 during the affected window (approximately March 3–10, 2026) executed a C2 implant that granted the attacker arbitrary command execution on the CI runner for up to 180 seconds per workflow run.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS