act: actions/cache サーバーが悪意のあるキャッシュの挿入を許可する

CVE-2026-34042 は、github.com/nektos/act に含まれる actions/cache サーバーにおける悪意のあるキャッシュインジェクションの脆弱性です。この脆弱性を悪用されると、攻撃者はワークフロー実行環境内で不正なキャッシュエントリを挿入し、そのキャッシュエントリが後続のワークフロー実行で使用される可能性があります。具体的には、攻撃者は悪意のあるスクリプトやバイナリをキャッシュに注入し、ワークフローがキャッシュからこれらの不正なコンテンツをロードする際に実行させることができます。これにより、攻撃者はワークフローの実行フローを制御し、機密情報を窃取したり、システム上で任意のコードを実行したりする可能性があります。影響を受けるのは、act を使用して GitHub Actions ワークフローを実行する環境です。ワークフローがキャッシュに依存している場合、特にリスクが高まります。攻撃者の影響範囲は、ワークフローが持つ権限とアクセスできるリソースに依存します。例えば、ワークフローがリポジトリへの書き込み権限を持っている場合、攻撃者はリポジトリの内容を改ざんする可能性があります。また、ワークフローがクラウドプロバイダーのAPIにアクセスできる場合、攻撃者はクラウドリソースを制御する可能性があります。

1. 予約済み2026-03-25
2. 公開日2026-04-02
3. EPSS 更新日2026-04-07

CVE-2026-34042 の修正には、act をバージョン 0.2.86 以降にアップグレードすることが推奨されます。このバージョンでは、悪意のあるキャッシュインジェクションを防ぐための対策が実装されています。アップグレードが直ちに不可能である場合は、ワークフローのキャッシュ設定を慎重に確認し、信頼できないソースからのキャッシュエントリの使用を避けるようにしてください。また、ワークフローの実行権限を必要最小限に制限することも有効な対策です。アップグレード後、キャッシュの動作が期待通りであることを確認するために、ワークフローをテストすることをお勧めします。特に、キャッシュに依存するステップは重点的にテストしてください。キャッシュの整合性を確認するために、キャッシュの内容を定期的に監査することも有効です。ワークフローの実行ログを監視し、異常なキャッシュアクセスや実行イベントがないか確認することも重要です。