UNKNOWNCVE-2026-34243
wenxian: Command Injection in GitHub Actions Workflow via `issue_comment.body`
Platform
github-enterprise
Component
wenxian
wenxian is a tool to generate BIBTEX files from given identifiers (DOI, PMID, arXiv ID, or paper title). In versions 0.3.1 and prior, a GitHub Actions workflow uses untrusted user input from issue_comment.body directly inside a shell command, allowing potential command injection and arbitrary code execution on the runner. At time of publication, there are no publicly available patches.
How to fix
No hay una versión corregida disponible al momento de la publicación. Se recomienda evitar el uso de la acción de GitHub hasta que se publique una actualización que solucione la vulnerabilidad. Alternativamente, se puede implementar una validación estricta de la entrada `issue_comment.body` para prevenir la inyección de comandos.
Monitor your dependencies automatically
Get notified when new vulnerabilities affect your projects. Free forever.
Start free