Katalog CVE

CVE-2025-49013

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W WilderForge zidentyfikowano krytyczną podatność w wielu projektach, wynikającą z niebezpiecznego użycia zmiennych kontrolowanych przez użytkownika w kontekście skryptów powłoki w GitHub Actions. Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu, co prowadzi do wykonania dowolnych poleceń w kontekście uprawnień workflow.

Ocena ryzyka

Podatność ta może prowadzić do kompromitacji infrastruktury CI, tajemnic oraz wyników budowy, co stwarza poważne zagrożenie dla organizacji. Wykonanie złośliwego kodu może mieć daleko idące konsekwencje dla bezpieczeństwa systemów.

Rekomendacja

Zaleca się przegląd i zabezpieczenie skryptów w GitHub Actions, aby unikać użycia zmiennych kontrolowanych przez użytkownika w kontekście powłoki. Należy również przeprowadzić audyt repozytoriów związanych z WilderForge w celu identyfikacji i naprawy potencjalnych luk.

Oryginalny opis (angielski, źródło NVD)

WilderForge is a Wildermyth coremodding API. A critical vulnerability has been identified in multiple projects across the WilderForge organization. The issue arises from unsafe usage of `${{ github.event.review.body }}` and other user controlled variables directly inside shell script contexts in GitHub Actions workflows. This introduces a code injection vulnerability: a malicious actor submitting a crafted pull request review containing shell metacharacters or commands could execute arbitrary shell code on the GitHub Actions runner. This can lead to arbitrary command execution with the permissions of the workflow, potentially compromising CI infrastructure, secrets, and build outputs. Developers who maintain or contribute to the repos WilderForge/WilderForge, WilderForge/ExampleMod, WilderForge/WilderWorkspace, WilderForge/WildermythGameProvider, WilderForge/AutoSplitter, WilderForge/SpASM, WilderForge/thrixlvault, WilderForge/MassHash, and/or WilderForge/DLC_Disabler; as well as users

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS