Plattform
github-enterprise
Komponente
wenxian
Behoben in
0.3.2
CVE-2026-34243 describes a Command Injection vulnerability affecting wenxian versions 0.3.1 and earlier. The vulnerability stems from the use of untrusted user input from issue comments within a GitHub Actions workflow, leading to potential arbitrary code execution on the runner. This can allow attackers to compromise the system. No official patch is currently available to address this vulnerability.
Die CVE-2026-34243-Schwachstelle in wenxian, einem Tool zur Generierung von BibTeX-Dateien, birgt ein kritisches Risiko aufgrund der Ausführung von beliebigen Befehlen. Versionen 0.3.1 und früher verwenden direkteingabe von nicht vertrauenswürdigen Benutzereingaben aus dem issue_comment.body direkt in Shell-Befehlen innerhalb eines GitHub Actions Workflows. Dies ermöglicht einem Angreifer, bösartige Befehle einzuschleusen, die auf der GitHub Actions Runner-Umgebung ausgeführt werden. Mit einem CVSS-Score von 9,8 ist die Schwere extrem hoch, was bedeutet, dass eine erfolgreiche Ausnutzung zur vollständigen Kontrolle des Runners führen könnte, wodurch potenziell sensible Daten kompromittiert oder der Runner für weitere Angriffe verwendet werden könnte. Das Fehlen eines öffentlich verfügbaren Patches verschärft die Situation und erfordert sofortige Abhilfemaßnahmen.
Die Schwachstelle wird durch die Manipulation des Textkörpers eines Kommentars in einem GitHub Issue ausgenutzt. Ein Angreifer könnte ein Issue erstellen und im Kommentar bösartige Befehle einfügen, die vom GitHub Actions Workflow ausgeführt werden sollen. Der Workflow führt durch die direkte Verwendung dieses Kommentars ohne Validierung die injizierten Befehle auf dem Shell des Runners aus. Dies ermöglicht dem Angreifer, beliebigen Code in der Runner-Umgebung auszuführen, potenziell auf Dateien zuzugreifen, Systembefehle auszuführen oder sogar die zugrunde liegende Infrastruktur zu kompromittieren. Die einfache Ausnutzbarkeit in Kombination mit der hohen Schwere macht diese Schwachstelle besonders besorgniserregend.
Exploit-Status
EPSS
0.23% (46% Perzentil)
CISA SSVC
CVSS-Vektor
Obwohl es keinen offiziellen Patch für CVE-2026-34243 gibt, wird dringend davon abgeraten, wenxian in Produktionsumgebungen zu verwenden, bis eine Lösung veröffentlicht wird. Als vorübergehende Abhilfe können Sie den betroffenen GitHub Actions Workflow deaktivieren oder ihn so ändern, dass die direkte Verwendung von issuecomment.body in Shell-Befehlen vermieden wird. Eine Alternative ist die Implementierung einer strengen Validierung und Desinfektion der issuecomment.body-Eingabe, bevor sie in einem Befehl verwendet wird, obwohl dies komplex sein kann und nicht garantiert, dass alle potenziellen Injektionen beseitigt werden. Die Überwachung der wenxian-Repositories auf zukünftige Updates und die Anwendung des Patches, sobald er verfügbar ist, ist entscheidend. Darüber hinaus ist es eine gute Sicherheitspraxis, andere GitHub Actions Workflows auf ähnliche Muster der Verwendung von nicht vertrauenswürdigen Eingaben zu überprüfen und zu prüfen.
No hay una versión corregida disponible al momento de la publicación. Se recomienda evitar el uso de la acción de GitHub hasta que se publique una versión parcheada. Como medida de mitigación, se puede validar y limpiar la entrada `issue_comment.body` antes de usarla en un comando shell.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
wenxian ist ein Tool, das BibTeX-Dateien aus Identifikatoren wie DOI, PMID oder Artikeltiteln generiert.
Sie ermöglicht die Ausführung von beliebigen Befehlen auf dem GitHub Actions Runner, was die Sicherheit des Runners und der zugehörigen Daten gefährden könnte.
Deaktivieren Sie den betroffenen Workflow oder implementieren Sie eine strenge Eingabevalidierung, bis ein Patch veröffentlicht wird.
Derzeit gibt es keinen öffentlich verfügbaren Patch.
Vermeiden Sie die direkte Verwendung von nicht vertrauenswürdigen Eingaben in Shell-Befehlen und führen Sie eine strenge Validierung und Desinfektion aller Benutzereingaben durch.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.