Plateforme
github-enterprise
Composant
wenxian
Corrigé dans
0.3.2
La vulnérabilité CVE-2026-34243 est une injection de commande critique affectant wenxian. Un workflow GitHub Actions utilise une entrée utilisateur non fiable, permettant l'exécution de code arbitraire sur le runner. Cette faille concerne les versions inférieures ou égales à 0.3.1. Aucun correctif officiel n'est disponible pour le moment.
La vulnérabilité CVE-2026-34243 dans wenxian, un outil de génération de fichiers BibTeX, présente un risque critique dû à l'exécution de commandes arbitraires. Les versions 0.3.1 et antérieures utilisent directement l'entrée non fiable du corps des commentaires GitHub Issues dans des commandes shell dans un workflow GitHub Actions. Cela permet à un attaquant d'injecter des commandes malveillantes qui seront exécutées dans l'environnement du runner GitHub Actions. Avec un score CVSS de 9.8, la sévérité est extrêmement élevée, ce qui signifie qu'une exploitation réussie pourrait entraîner un contrôle total du runner, compromettant potentiellement des données sensibles ou utilisant le runner pour lancer d'autres attaques. L'absence d'un correctif publiquement disponible aggrave la situation, nécessitant des mesures d'atténuation immédiates.
La vulnérabilité est exploitée par la manipulation du corps d'un commentaire dans un Issue GitHub. Un attaquant pourrait créer un Issue et, dans le commentaire, inclure des commandes malveillantes conçues pour être exécutées par le workflow GitHub Actions. Le workflow, en utilisant directement ce commentaire sans validation, exécute les commandes injectées sur le shell du runner. Cela permet à l'attaquant d'exécuter du code arbitraire dans l'environnement du runner, obtenant potentiellement un accès aux fichiers, exécutant des commandes système ou compromettant même l'infrastructure sous-jacente. La facilité d'exploitation, combinée à la haute sévérité, rend cette vulnérabilité particulièrement préoccupante.
Statut de l'Exploit
EPSS
0.23% (percentile 46%)
CISA SSVC
Vecteur CVSS
Bien qu'il n'y ait pas de correctif officiel pour CVE-2026-34243, il est fortement recommandé d'éviter d'utiliser wenxian dans les environnements de production jusqu'à ce qu'une solution soit publiée. En tant que mesure d'atténuation temporaire, vous pouvez désactiver le workflow GitHub Actions affecté ou le modifier pour éviter d'utiliser directement issuecomment.body dans des commandes shell. Une alternative consiste à mettre en œuvre une validation et une désinfection rigoureuses de l'entrée issuecomment.body avant de l'utiliser dans une commande, bien que cela puisse être complexe et ne garantisse pas l'élimination de toutes les injections potentielles. Surveiller les référentiels wenxian pour les mises à jour futures et appliquer le correctif dès qu'il est disponible est crucial. De plus, examiner et auditer les autres workflows GitHub Actions à la recherche de modèles similaires d'utilisation d'entrées non fiables est une bonne pratique de sécurité.
Aucune version corrigée n'est disponible au moment de la publication. Il est recommandé d'éviter d'utiliser l'action GitHub jusqu'à ce qu'une mise à jour corrigeant la vulnérabilité soit publiée. Alternativement, une validation stricte de l'entrée `issue_comment.body` peut être implémentée pour prévenir l'injection de commandes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
wenxian est un outil qui génère des fichiers BibTeX à partir d'identifiants tels que DOI, PMID ou titres d'articles.
Elle permet l'exécution de commandes arbitraires sur le runner GitHub Actions, ce qui pourrait compromettre la sécurité du runner et des données associées.
Désactivez le workflow affecté ou mettez en œuvre une validation d'entrée stricte jusqu'à ce qu'un correctif soit publié.
Actuellement, il n'y a pas de correctif publiquement disponible.
Évitez d'utiliser directement des entrées non fiables dans des commandes shell et effectuez une validation et une désinfection rigoureuses de toute entrée utilisateur.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.