Plateforme
go
Composant
github.com/nektos/act
Corrigé dans
0.2.87
0.2.86
La vulnérabilité CVE-2026-34041 dans github.com/nektos/act permet une injection d'environnement en raison d'un traitement non restreint des commandes set-env et add-path. Cette faille peut permettre à un attaquant de modifier l'environnement d'exécution, potentiellement conduisant à l'exécution de code arbitraire. Le problème affecte les versions antérieures à 0.2.86 de github.com/nektos/act. La version 0.2.86 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-34041 dans act permet une injection de variables d'environnement en raison du traitement non restreint des commandes set-env et add-path. Un attaquant capable d'influencer les valeurs passées à ces commandes peut potentiellement exécuter des commandes arbitraires sur le système où act est en cours d'exécution. Par exemple, un attaquant pourrait injecter une variable d'environnement PATH modifiée pour rediriger l'exécution de commandes critiques vers un script malveillant contrôlé par l'attaquant. Cela pourrait permettre l'exfiltration de données sensibles, la modification de fichiers de configuration, ou même l'obtention d'un accès persistant au système. Le rayon d'impact est potentiellement élevé, car l'attaquant pourrait compromettre l'ensemble de l'environnement d'exécution d'act, y compris les actions de CI/CD. La gravité de cette vulnérabilité est classée comme élevée (CVSS score de 7.5) en raison de la possibilité d'exécution de code arbitraire et de l'impact potentiel sur la sécurité des pipelines d'intégration continue et de livraison continue. L'exploitation réussie pourrait mener à une compromission complète du système d'intégration continue, affectant potentiellement tous les projets utilisant act.
À ce jour, il n'y a pas de rapports publics d'exploitation active de CVE-2026-34041. Cependant, la nature de la vulnérabilité (injection de variables d'environnement) la rend potentiellement exploitable. Bien qu'aucun preuve d'exploitation concrète n'ait été observée, la possibilité d'une exploitation future ne peut être exclue. L'absence de preuves d'exploitation ne doit pas diminuer l'urgence de la correction, car la vulnérabilité pourrait être exploitée de manière discrète. Il est recommandé de mettre en œuvre la correction dès que possible pour minimiser le risque d'exploitation.
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. This includes development teams using act to accelerate their workflows and those who store sensitive information as environment variables within their GitHub repositories. Shared hosting environments utilizing act also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server: Monitor GitHub Actions workflow logs for suspicious set-env or add-path commands. Use journalctl to filter for act-related processes and look for unusual environment variable modifications.
journalctl -u act -g 'set-env' --grep 'env=' | less• generic web: Examine GitHub Actions workflow definitions for any insecure usage of set-env or add-path. Review repository access controls to ensure only authorized users can modify workflows.
Public Disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
La solution recommandée pour corriger CVE-2026-34041 est de mettre à jour act vers la version 0.2.86 ou supérieure. Cette version inclut une correction qui restreint le traitement des commandes set-env et add-path, empêchant ainsi l'injection de variables d'environnement. Si la mise à jour n'est pas immédiatement possible, une mesure d'atténuation temporaire consiste à examiner et à valider rigoureusement toutes les valeurs passées aux commandes set-env et add-path. Il est crucial de s'assurer que ces valeurs proviennent de sources fiables et ne contiennent pas de caractères ou de commandes malveillantes. Après la mise à jour, il est fortement conseillé de vérifier que les pipelines d'intégration continue fonctionnent comme prévu et qu'aucune anomalie n'est détectée. Une analyse des journaux d'activité peut aider à identifier toute tentative d'exploitation de la vulnérabilité avant la correction.
Actualice a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad de inyección de entorno al deshabilitar el procesamiento incondicional de los comandos de flujo de trabajo ::set-env:: y ::add-path::.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34041 is a HIGH severity vulnerability in act versions before 0.2.86 that allows attackers to inject environment variables, potentially compromising CI/CD pipelines.
If you are using act versions prior to 0.2.86, you are vulnerable. Check your act version and upgrade immediately.
Upgrade act to version 0.2.86 or later. If immediate upgrade isn't possible, implement stricter input validation for set-env and add-path commands.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation makes it a potential target. Monitor your systems closely.
Refer to the official act GitHub repository and release notes for the advisory and detailed information: https://github.com/nektos/act/releases
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.