CVE-2026-34243
KrytyczneStreszczenie
Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.
Ocena ryzyka
Luka ta stwarza ryzyko wykonania złośliwego kodu, co może prowadzić do kompromitacji systemu, w którym działa runner. Organizacje mogą być narażone na ataki, które mogą wpłynąć na bezpieczeństwo danych i integralność systemów.
Rekomendacja
Zaleca się aktualizację narzędzia wenxian do najnowszej wersji, gdy tylko będzie dostępna poprawka. Należy również rozważyć ograniczenie dostępu do workflow GitHub Actions, aby zminimalizować ryzyko wykorzystania tej podatności.
Oryginalny opis (angielski, źródło NVD)
wenxian is a tool to generate BIBTEX files from given identifiers (DOI, PMID, arXiv ID, or paper title). In versions 0.3.1 and prior, a GitHub Actions workflow uses untrusted user input from issue_comment.body directly inside a shell command, allowing potential command injection and arbitrary code execution on the runner. At time of publication, there are no publicly available patches.

