Plateforme
go
Composant
github.com/nektos/act
Corrigé dans
0.2.87
0.2.86
La vulnérabilité CVE-2026-34042 permet l'injection de cache malveillant dans le composant github.com/nektos/act. Cette faille peut permettre à un attaquant d'injecter du contenu malveillant dans le cache, potentiellement compromettant l'exécution des actions GitHub. Les versions affectées sont celles antérieures à la version 0.2.86. La version 0.2.86 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-34042, affectant le serveur de cache d'actions de actions/cache utilisé par github.com/nektos/act, permet à un attaquant malveillant d'injecter des données arbitraires dans le cache. act est un outil populaire pour exécuter des workflows GitHub Actions localement. Un attaquant pourrait exploiter cette faille en manipulant les entrées du cache, par exemple en injectant des commandes malveillantes qui seraient ensuite exécutées lors d'exécutions ultérieures de workflows. Le risque principal réside dans la compromission des actions exécutées localement, ce qui pourrait permettre à un attaquant de compromettre le système hôte. Le vecteur d'attaque implique la manipulation des fichiers de cache, nécessitant un accès en écriture à ces fichiers. Le champ d'impact est limité aux environnements où act est utilisé et où l'attaquant peut contrôler les entrées du cache. Les données sensibles stockées dans le cache, telles que les variables d'environnement ou les secrets, pourraient être compromises. L'exécution de workflows compromis pourrait également conduire à l'exécution de code arbitraire sur le système, permettant un accès non autorisé et potentiellement une prise de contrôle complète du système.
À l'heure actuelle, il n'existe pas de rapports publics d'exploitation active de la vulnérabilité CVE-2026-34042. Bien que l'absence de preuves d'exploitation publique ne diminue pas la gravité de la vulnérabilité, elle indique que l'exploitation n'est pas encore largement répandue. Cependant, la nature de la vulnérabilité, qui permet l'injection de commandes, suggère qu'elle pourrait être exploitée à l'avenir. Il n'existe pas de preuve d'un Proof of Concept (POC) public disponible. En raison du potentiel d'exécution de code arbitraire, il est recommandé de traiter cette vulnérabilité avec une priorité élevée et de mettre en œuvre les mesures d'atténuation dès que possible. La surveillance continue de l'état de la vulnérabilité est conseillée.
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La solution recommandée pour corriger la vulnérabilité CVE-2026-34042 est de mettre à niveau act vers la version 0.2.86 ou supérieure. Cette version inclut une correction qui empêche l'injection malveillante dans le cache. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement temporaire consiste à examiner attentivement les entrées du cache avant de les utiliser, en s'assurant qu'elles ne contiennent pas de commandes malveillantes. Il est également conseillé de limiter l'accès en écriture aux fichiers de cache aux utilisateurs autorisés. Après la mise à niveau, il est crucial de vérifier que la nouvelle version est correctement installée et configurée. Une vérification peut être effectuée en exécutant un workflow GitHub Actions simple et en s'assurant que le cache est utilisé comme prévu sans comportement inattendu. Il est recommandé de surveiller les journaux d'activité d'act pour détecter toute activité suspecte.
Actualice act a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad que permite la inyección de caché maliciosa. La actualización evitará que atacantes remotos creen cachés maliciosas y ejecuten código arbitrario dentro de los contenedores Docker.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34042 is a vulnerability in the act actions/cache server that allows malicious cache injection, potentially leading to arbitrary code execution within GitHub Actions workflows.
You are affected if you are using the nektos/act action in your GitHub Actions workflows and are running a version prior to 0.2.86.
Upgrade the nektos/act action to version 0.2.86 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or proof-of-concept code for CVE-2026-34042.
Refer to the National Vulnerability Database (NVD) entry at [https://nvd.nist.gov/vuln/detail/CVE-2026-34042](https://nvd.nist.gov/vuln/detail/CVE-2026-34042) and the vendor advisory for more information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.