Katalog CVE

CVE-2026-34243

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.

Ocena ryzyka

Luka ta stwarza ryzyko wykonania złośliwego kodu, co może prowadzić do kompromitacji systemu, w którym działa runner. Organizacje mogą być narażone na ataki, które mogą wpłynąć na bezpieczeństwo danych i integralność systemów.

Rekomendacja

Zaleca się aktualizację narzędzia wenxian do najnowszej wersji, gdy tylko będzie dostępna poprawka. Należy również rozważyć ograniczenie dostępu do workflow GitHub Actions, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

wenxian is a tool to generate BIBTEX files from given identifiers (DOI, PMID, arXiv ID, or paper title). In versions 0.3.1 and prior, a GitHub Actions workflow uses untrusted user input from issue_comment.body directly inside a shell command, allowing potential command injection and arbitrary code execution on the runner. At time of publication, there are no publicly available patches.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS