प्लेटफ़ॉर्म
go
घटक
github.com/nektos/act
में ठीक किया गया
0.2.87
0.2.86
CVE-2026-34041 github.com/nektos/act में एक वातावरण इंजेक्शन भेद्यता है। यह अनियंत्रित सेट-env और ऐड-पाथ कमांड प्रोसेसिंग के कारण वातावरण इंजेक्शन को सक्षम करता है, जिससे संभावित रूप से दुर्भावनापूर्ण कोड निष्पादित हो सकता है। यह भेद्यता github.com/nektos/act के पुराने संस्करणों को प्रभावित करती है। संस्करण 0.2.86 में इस समस्या का समाधान किया गया है।
CVE-2026-34041, act नामक उत्पाद में एक गंभीर भेद्यता है जो पर्यावरण इंजेक्शन (environment injection) की अनुमति देती है। यह भेद्यता तब उत्पन्न होती है जब act असुरक्षित रूप से set-env और add-path कमांड को संसाधित करता है। एक हमलावर, जो act का उपयोग करता है, दुर्भावनापूर्ण वातावरण चर (environment variables) सेट करके या पथ में अनधिकृत निर्देशिकाएँ जोड़कर, कार्य निष्पादन के प्रवाह को नियंत्रित कर सकता है। इसका परिणाम संवेदनशील डेटा का प्रकटीकरण, अनधिकृत सिस्टम एक्सेस, या यहां तक कि रिमोट कोड निष्पादन (RCE) भी हो सकता है। उदाहरण के लिए, एक हमलावर एक दुर्भावनापूर्ण स्क्रिप्ट को PATH में जोड़ सकता है, जिससे बाद में निष्पादित होने वाले किसी भी कार्य के लिए यह डिफ़ॉल्ट रूप से निष्पादित हो जाएगी। यह विशेष रूप से उन वातावरणों में चिंताजनक है जहाँ act का उपयोग CI/CD पाइपलाइनों में किया जाता है, क्योंकि एक समझौता किया गया कार्य पूरे सिस्टम को खतरे में डाल सकता है। प्रभावित सिस्टम की सुरक्षा और डेटा की अखंडता को बनाए रखने के लिए इस भेद्यता को तुरंत संबोधित करना महत्वपूर्ण है। इस भेद्यता का 'ब्लास्ट रेडियस' (blast radius) उस सिस्टम तक सीमित हो सकता है जहाँ act चल रहा है, लेकिन यदि act का उपयोग संवेदनशील संसाधनों तक पहुंचने के लिए किया जाता है, तो प्रभाव व्यापक हो सकता है।
वर्तमान में, CVE-2026-34041 के लिए कोई सार्वजनिक शोषण रिपोर्ट (public exploitation reports) उपलब्ध नहीं हैं। इसका मतलब है कि इस भेद्यता का सक्रिय रूप से शोषण किए जाने की संभावना कम है। हालाँकि, भेद्यता की गंभीरता (HIGH CVSS स्कोर 7.5) को देखते हुए, यह संभव है कि भविष्य में इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (proof-of-concept) अभी तक नहीं हैं, लेकिन सुरक्षा शोधकर्ताओं द्वारा भेद्यता का विश्लेषण किया जा रहा है। इस भेद्यता को कम करने के लिए तत्काल कार्रवाई की सिफारिश की जाती है, खासकर उन वातावरणों में जहाँ act का उपयोग महत्वपूर्ण संसाधनों तक पहुंचने के लिए किया जाता है। भेद्यता की स्थिति पर नज़र रखना और नवीनतम सुरक्षा जानकारी के लिए act के आधिकारिक चैनलों की जाँच करना महत्वपूर्ण है।
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. This includes development teams using act to accelerate their workflows and those who store sensitive information as environment variables within their GitHub repositories. Shared hosting environments utilizing act also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server: Monitor GitHub Actions workflow logs for suspicious set-env or add-path commands. Use journalctl to filter for act-related processes and look for unusual environment variable modifications.
journalctl -u act -g 'set-env' --grep 'env=' | less• generic web: Examine GitHub Actions workflow definitions for any insecure usage of set-env or add-path. Review repository access controls to ensure only authorized users can modify workflows.
Public Disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (19% शतमक)
CVE-2026-34041 को ठीक करने का सबसे प्रभावी तरीका act को संस्करण 0.2.86 या उसके बाद के संस्करण में अपग्रेड करना है। यह संस्करण भेद्यता को संबोधित करने के लिए आवश्यक सुरक्षा पैच शामिल करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, set-env और add-path कमांड के उपयोग को सीमित करने या सख्त एक्सेस नियंत्रण लागू करने पर विचार करें। सुनिश्चित करें कि केवल विश्वसनीय स्रोतों से ही वातावरण चर सेट किए जा रहे हैं। अपग्रेड करने के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता सफलतापूर्वक ठीक हो गई है। आप act के नवीनतम संस्करण के साथ एक परीक्षण कार्य चलाकर ऐसा कर सकते हैं और यह सुनिश्चित कर सकते हैं कि कोई अनपेक्षित व्यवहार नहीं है। यह भी सुनिश्चित करें कि आपके सभी act इंस्टेंस अपग्रेड किए गए हैं और सुरक्षित कॉन्फ़िगरेशन का उपयोग कर रहे हैं। अपग्रेड प्रक्रिया को सावधानीपूर्वक योजनाबद्ध और कार्यान्वित किया जाना चाहिए ताकि सिस्टम में व्यवधान को कम किया जा सके।
Actualice a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad de inyección de entorno al deshabilitar el procesamiento incondicional de los comandos de flujo de trabajo ::set-env:: y ::add-path::.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34041 act नामक उत्पाद में एक भेद्यता है जो पर्यावरण इंजेक्शन (environment injection) की अनुमति देती है, जिससे हमलावर कार्य निष्पादन के प्रवाह को नियंत्रित कर सकते हैं।
act के संस्करण 0.2.86 से पहले के संस्करण इस भेद्यता से प्रभावित हैं।
CVE-2026-34041 को ठीक करने के लिए act को संस्करण 0.2.86 या उसके बाद के संस्करण में अपग्रेड करें।
वर्तमान में, CVE-2026-34041 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं हैं।
आप NVD (National Vulnerability Database) पर अधिक जानकारी प्राप्त कर सकते हैं: [https://nvd.nist.gov/vuln/detail/CVE-2026-34041](https://nvd.nist.gov/vuln/detail/CVE-2026-34041)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।