Katalog CVE

CVE-2026-44590

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Sherlock to narzędzie do wyszukiwania kont w mediach społecznościowych po nazwie użytkownika. W wersjach przed 0.16.1, workflow GitHub Actions validate_modified_targets.yml jest podatny na wstrzykiwanie poleceń poprzez wyzwalacz pull_request_target, co pozwala dowolnemu użytkownikowi GitHub na wykonanie arbitralnych poleceń na runnerze CI oraz wykradzenie GITHUB_TOKEN poprzez otwarcie pull requesta.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ umożliwia nieautoryzowanym użytkownikom wykonanie poleceń na serwerze CI, co może prowadzić do wycieku wrażliwych danych, takich jak tokeny dostępu.

Rekomendacja

Zaleca się aktualizację do wersji 0.16.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do wyzwalacza pull_request_target tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Sherlock hunts down social media accounts by username across social networks. Prior to 0.16.1, the GitHub Actions workflow validate_modified_targets.yml is vulnerable to command injection via the pull_request_target trigger. Any GitHub user can execute arbitrary commands on the CI runner and exfiltrate the GITHUB_TOKEN by opening a pull request. No approval, review, or merge is required. This vulnerability is fixed in 0.16.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS