प्लेटफ़ॉर्म
go
घटक
github.com/nektos/act
में ठीक किया गया
0.2.87
0.2.86
CVE-2026-34042, github.com/nektos/act में एक भेद्यता है जो दुर्भावनापूर्ण कैश इंजेक्शन की अनुमति देती है। इसका परिणाम डेटा समझौते में हो सकता है। यह भेद्यता सभी संस्करणों को प्रभावित करती है। संस्करण 0.2.86 में समस्या का समाधान किया गया है।
CVE-2026-34042, Docker के संदर्भ में, GitHub पर nektos/act नामक एक क्रिया (action) का उपयोग करने वाले सिस्टम के लिए एक गंभीर जोखिम प्रस्तुत करता है। यह भेद्यता act के भीतर Cache सर्वर में मौजूद है, जो दुर्भावनापूर्ण Cache इंजेक्शन की अनुमति देता है। एक हमलावर, जो GitHub क्रियाओं का उपयोग करता है, एक विशेष रूप से तैयार Cache प्रविष्टि को इंजेक्ट कर सकता है। यह Cache प्रविष्टि बाद में act द्वारा उपयोग किए जाने पर, मनमाने कोड के निष्पादन का कारण बन सकती है। इसका मतलब है कि हमलावर, यदि वे Cache को नियंत्रित कर सकते हैं, तो संभावित रूप से क्रिया के वातावरण में कोड चला सकते हैं, जिससे रिपॉजिटरी के लिए संवेदनशील डेटा तक अनधिकृत पहुंच हो सकती है, जैसे कि API कुंजियाँ, क्रेडेंशियल, या अन्य गोपनीय जानकारी। Blast radius व्यापक हो सकता है, क्योंकि यह किसी भी रिपॉजिटरी को प्रभावित कर सकता है जो इस क्रिया का उपयोग करता है, खासकर यदि क्रियाओं को उच्च विशेषाधिकारों के साथ चलाया जाता है। इस भेद्यता का उपयोग करके, हमलावर रिपॉजिटरी के निर्माण प्रक्रिया को भी बाधित कर सकता है या दुर्भावनापूर्ण सॉफ़्टवेयर को इंजेक्ट कर सकता है।
वर्तमान में, CVE-2026-34042 के लिए सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं हैं (KEV: कोई सार्वजनिक शोषण रिपोर्ट नहीं)। इसका मतलब है कि अभी तक इस भेद्यता का सक्रिय रूप से शोषण करने का कोई ज्ञात मामला नहीं है। हालांकि, भेद्यता की गंभीरता (CVSS स्कोर 8.2 - HIGH) इंगित करती है कि इसका शोषण किया जा सकता है, और भविष्य में शोषण विकसित हो सकते हैं। इस भेद्यता को गंभीरता से लेना और तुरंत पैच लागू करना महत्वपूर्ण है, भले ही कोई सार्वजनिक शोषण उपलब्ध न हो। सार्वजनिक POC (प्रूफ-ऑफ-कॉन्सेप्ट) अभी तक उपलब्ध नहीं हैं, लेकिन इस भेद्यता की प्रकृति को देखते हुए, यह संभव है कि भविष्य में POC जारी किए जा सकते हैं।
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34042 को कम करने के लिए, तत्काल कार्रवाई की आवश्यकता है। सबसे महत्वपूर्ण कदम Docker कंटेनर को संस्करण 0.2.86 या उच्चतर में अपग्रेड करना है। यह संस्करण भेद्यता को ठीक करता है। यदि अपग्रेड तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Cache सर्वर को अक्षम करने पर विचार करें, हालांकि इससे कार्यक्षमता प्रभावित हो सकती है। Cache सर्वर को अक्षम करने से इंजेक्शन हमलों का जोखिम कम हो जाएगा। अपग्रेड के बाद, यह सत्यापित करना महत्वपूर्ण है कि Cache सर्वर ठीक से काम कर रहा है और कोई त्रुटि नहीं है। यह सुनिश्चित करने के लिए कि पैच सफलतापूर्वक लागू किया गया है, सिस्टम लॉग और क्रिया लॉग की निगरानी करें। यदि संभव हो, तो एक परीक्षण वातावरण में अपग्रेड करें और उत्पादन में लागू करने से पहले पूरी तरह से परीक्षण करें।
Actualice act a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad que permite la inyección de caché maliciosa. La actualización evitará que atacantes remotos creen cachés maliciosas y ejecuten código arbitrario dentro de los contenedores Docker.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34042 GitHub पर nektos/act क्रिया के Cache सर्वर में एक भेद्यता है जो दुर्भावनापूर्ण Cache इंजेक्शन की अनुमति देती है।
यदि आप Docker का उपयोग कर रहे हैं और nektos/act क्रिया का उपयोग कर रहे हैं, और आपका संस्करण 0.2.86 से कम है, तो आप प्रभावित हो सकते हैं।
CVE-2026-34042 को ठीक करने के लिए, अपने Docker कंटेनर को संस्करण 0.2.86 या उच्चतर में अपग्रेड करें।
वर्तमान में, CVE-2026-34042 के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं है, लेकिन भेद्यता गंभीर है और भविष्य में इसका शोषण किया जा सकता है।
अधिक जानकारी के लिए, NVD (National Vulnerability Database) और विक्रेता सलाहकार देखें: [https://nvd.nist.gov/vuln/detail/CVE-2026-34042](https://nvd.nist.gov/vuln/detail/CVE-2026-34042)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।