CVE-2026-34041: Inyección de entorno en act < 0.2.86
Plataforma
go
Componente
act
Corregido en
0.2.86
CVE-2026-34041 es una vulnerabilidad de inyección de entorno en act, una herramienta para ejecutar GitHub Actions localmente. Permite a un atacante inyectar comandos para establecer variables de entorno arbitrarias o modificar el PATH para pasos posteriores. Afecta a versiones anteriores a la 0.2.86. Se ha solucionado en la versión 0.2.86.
Cómo corregirlo
Actualice a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad de inyección de entorno al deshabilitar el procesamiento incondicional de los comandos de flujo de trabajo ::set-env:: y ::add-path::.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34041?
Es una vulnerabilidad de inyección de entorno en act que permite a un atacante modificar variables de entorno para pasos posteriores en un trabajo de GitHub Actions.
¿Estoy afectado por CVE-2026-34041?
Estás afectado si utilizas act en versiones anteriores a la 0.2.86 y ejecutas flujos de trabajo con datos no confiables.
¿Cómo solucionar o mitigar CVE-2026-34041?
Actualiza act a la versión 0.2.86 o superior. Evita ejecutar flujos de trabajo con datos no confiables.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis