act: 無制限の set-env および add-path コマンド処理により、環境変数のインジェクションが可能になる

actにおけるCVE-2026-34041は、set-envおよびadd-pathコマンドの処理における制限の欠如に起因する環境変数のインジェクション脆弱性です。攻撃者は、悪意のあるコマンドをこれらのコマンドに注入することで、actの実行環境を制御し、ホストシステムへのアクセスを試みることができます。例えば、攻撃者はset-envコマンドを通じて、機密情報を含む環境変数を設定したり、add-pathコマンドを通じて、悪意のあるスクリプトが実行されるようにパスを操作したりすることが考えられます。この脆弱性の影響範囲は、actが実行される環境に依存します。CI/CDパイプラインでactを使用している場合、攻撃者はパイプラインを乗っ取り、ソースコードリポジトリへの不正アクセス、機密情報の窃取、または悪意のあるコードのデプロイといった深刻な被害をもたらす可能性があります。特に、認証情報やAPIキーなどの機密情報が環境変数として保存されている場合、攻撃者はそれらを取得し、さらなる攻撃に利用するリスクがあります。この脆弱性の深刻度は高いと評価されており、迅速な対応が必要です。

Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. This includes development teams using act to accelerate their workflows and those who store sensitive information as environment variables within their GitHub repositories. Shared hosting environments utilizing act also present a heightened risk due to the potential for cross-tenant exploitation.

• linux / server: Monitor GitHub Actions workflow logs for suspicious set-env or add-path commands. Use journalctl to filter for act-related processes and look for unusual environment variable modifications.

journalctl -u act -g 'set-env' --grep 'env=' | less

• generic web: Examine GitHub Actions workflow definitions for any insecure usage of set-env or add-path. Review repository access controls to ensure only authorized users can modify workflows.

1. 2026-04-02Disclosure

   Public Disclosure

1. 予約済み2026-03-25
2. 公開日2026-04-02
3. EPSS 更新日2026-04-07

CVE-2026-34041の修正には、actをバージョン0.2.86以上にアップグレードすることが推奨されます。このバージョンでは、set-envおよびadd-pathコマンドの処理における制限が強化され、環境変数のインジェクション攻撃を防ぐための対策が実装されています。アップグレードが直ちに困難な場合は、set-envおよびadd-pathコマンドの使用を制限する、または入力値を厳密に検証するなどの回避策を講じる必要があります。例えば、これらのコマンドを使用する前に、入力値が想定される形式であることを確認したり、許可された文字のみを使用するように制限したりすることができます。アップグレード後、または回避策を実装した後は、actが正しく動作することを確認するために、テスト環境で十分にテストを行うことを推奨します。テストには、環境変数の設定やパスの変更など、脆弱性が悪用される可能性のあるシナリオを含めるべきです。これにより、修正が効果的に脆弱性を軽減していることを確認できます。