CVE-2026-35580
KrytyczneStreszczenie
Emissary to oparty na P2P silnik workflow oparty na danych. W wersjach przed 8.39.0 pliki workflow GitHub Actions zawierały punkty wstrzyknięcia poleceń powłoki, gdzie dane wejściowe kontrolowane przez użytkownika były interpolowane bezpośrednio w poleceniach powłoki, co mogło prowadzić do wstrzyknięcia dowolnych poleceń powłoki.
Ocena ryzyka
Atakujący z dostępem do zapisu w repozytorium mógłby wstrzyknąć złośliwe polecenia, co prowadziłoby do skażenia repozytorium i kompromitacji łańcucha dostaw, wpływając na wszystkich użytkowników downstream.
Rekomendacja
Zaleca się aktualizację do wersji 8.39.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć się przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Emissary is a P2P based data-driven workflow engine. Prior to 8.39.0, GitHub Actions workflow files contained shell injection points where user-controlled workflow_dispatch inputs were interpolated directly into shell commands via ${{ }} expression syntax. An attacker with repository write access could inject arbitrary shell commands, leading to repository poisoning and supply chain compromise affecting all downstream users. This vulnerability is fixed in 8.39.0.

