CVE-2025-53104
KrytyczneStreszczenie
W bibliotece gluestack-ui, przed poprawką e6b4271, odkryto podatność na wstrzykiwanie poleceń w workflow GitHub Actions discussion-to-slack.yml. Nieufne pola dyskusji były bezpośrednio interpolowane w poleceniach powłoki, co umożliwiało atakującym wykonywanie dowolnych poleceń na runnerze Actions.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ atakujący mógłby uzyskać dostęp do systemu wykonawczego i uruchomić złośliwe polecenia. Może to prowadzić do utraty danych lub przejęcia kontroli nad środowiskiem wykonawczym.
Rekomendacja
Zaleca się usunięcie workflow discussion-to-slack.yml, jeśli korzystasz z forków lub pochodnych tej biblioteki. Upewnij się, że wszystkie komponenty są aktualne i nie zawierają znanych podatności.
Oryginalny opis (angielski, źródło NVD)
gluestack-ui is a library of copy-pasteable components & patterns crafted with Tailwind CSS (NativeWind). Prior to commit e6b4271, a command injection vulnerability was discovered in the discussion-to-slack.yml GitHub Actions workflow. Untrusted discussion fields (title, body, etc.) were directly interpolated into shell commands in a run: block. An attacker could craft a malicious GitHub Discussion title or body (e.g., $(curl ...)) to execute arbitrary shell commands on the Actions runner. This issue has been fixed in commit e6b4271 where the discussion-to-slack.yml workflow was removed. Users should remove the discussion-to-slack.yml workflow if using a fork or derivative of this repository.

