CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-44590

Critical
Published: Translated: NVD NIST

Summary

Sherlock to narzędzie do wyszukiwania kont w mediach społecznościowych po nazwie użytkownika. W wersjach przed 0.16.1, workflow GitHub Actions validate_modified_targets.yml jest podatny na wstrzykiwanie poleceń poprzez wyzwalacz pull_request_target, co pozwala dowolnemu użytkownikowi GitHub na wykonanie arbitralnych poleceń na runnerze CI oraz wykradzenie GITHUB_TOKEN poprzez otwarcie pull requesta.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ umożliwia nieautoryzowanym użytkownikom wykonanie poleceń na serwerze CI, co może prowadzić do wycieku wrażliwych danych, takich jak tokeny dostępu.

Recommendation

Zaleca się aktualizację do wersji 0.16.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do wyzwalacza pull_request_target tylko dla zaufanych użytkowników.

Original NVD description (English source)

Sherlock hunts down social media accounts by username across social networks. Prior to 0.16.1, the GitHub Actions workflow validate_modified_targets.yml is vulnerable to command injection via the pull_request_target trigger. Any GitHub user can execute arbitrary commands on the CI runner and exfiltrate the GITHUB_TOKEN by opening a pull request. No approval, review, or merge is required. This vulnerability is fixed in 0.16.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS