CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35580

Critical
Published: Translated: NVD NIST

Summary

Emissary to oparty na P2P silnik workflow oparty na danych. W wersjach przed 8.39.0 pliki workflow GitHub Actions zawierały punkty wstrzyknięcia poleceń powłoki, gdzie dane wejściowe kontrolowane przez użytkownika były interpolowane bezpośrednio w poleceniach powłoki, co mogło prowadzić do wstrzyknięcia dowolnych poleceń powłoki.

Risk Assessment

Atakujący z dostępem do zapisu w repozytorium mógłby wstrzyknąć złośliwe polecenia, co prowadziłoby do skażenia repozytorium i kompromitacji łańcucha dostaw, wpływając na wszystkich użytkowników downstream.

Recommendation

Zaleca się aktualizację do wersji 8.39.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć się przed potencjalnymi atakami.

Original NVD description (English source)

Emissary is a P2P based data-driven workflow engine. Prior to 8.39.0, GitHub Actions workflow files contained shell injection points where user-controlled workflow_dispatch inputs were interpolated directly into shell commands via ${{ }} expression syntax. An attacker with repository write access could inject arbitrary shell commands, leading to repository poisoning and supply chain compromise affecting all downstream users. This vulnerability is fixed in 8.39.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS