UNKNOWNCVE-2026-34243
CVE-2026-34243: wenxian <=0.3.1 コマンドインジェクション
プラットフォーム
github-enterprise
コンポーネント
wenxian
wenxianは、識別子からBIBTEXファイルを生成するツールです。バージョン0.3.1以前には、GitHub Actionsのワークフローで、issue_comment.bodyからの信頼できないユーザー入力がシェルコマンド内で直接使用されるため、コマンドインジェクションが発生し、ランナー上で任意のコードが実行される可能性があります。現在、利用可能なパッチはありません。
修正方法
公開時点で使用可能な修正バージョンはありません。脆弱性を修正するアップデートが公開されるまで、GitHub アクションの使用を避けることをお勧めします。あるいは、コマンドインジェクション (Command Injection) を防ぐために、`issue_comment.body` 入力の厳密な検証を実装できます。
よくある質問
CVE-2026-34243とは何ですか?
wenxianのバージョン0.3.1以前に存在する、コマンドインジェクションの脆弱性です。悪意のあるユーザーが、サーバー上で任意のコマンドを実行できる可能性があります。
この脆弱性の影響を受けますか?
wenxianのバージョン0.3.1以前を使用している場合、影響を受ける可能性があります。特に、GitHub Actionsのワークフローを使用している場合は注意が必要です。
どのように修正または軽減できますか?
現時点では、公式なパッチは公開されていません。入力の検証を強化するなどの対策を検討してください。wenxianのアップデートを待ちましょう。