プラットフォーム
github-enterprise
コンポーネント
wenxian
修正版
0.3.2
wenxianは、識別子からBIBTEXファイルを生成するツールです。バージョン0.3.1以前には、GitHub Actionsのワークフローで、issue_comment.bodyからの信頼できないユーザー入力がシェルコマンド内で直接使用されるため、コマンドインジェクションが発生し、ランナー上で任意のコードが実行される可能性があります。現在、利用可能なパッチはありません。
CVE-2026-34243 は、BibTeX ファイルを生成するツールである wenxian における脆弱性であり、任意のコマンド実行による重大なリスクをもたらします。バージョン 0.3.1 以前では、GitHub Actions ワークフロー内で、信頼できないユーザー入力(issue_comment.body)をシェルコマンドに直接使用しています。これにより、攻撃者は GitHub Actions ランナー環境で実行される悪意のあるコマンドを挿入できます。CVSS スコアが 9.8 であるため、深刻度は非常に高く、悪用が成功すると、ランナーを完全に制御し、機密データを侵害したり、さらなる攻撃を開始するためにランナーを使用したりする可能性があります。公開されているパッチがないことは状況を悪化させ、即時の軽減策が必要です。
この脆弱性は、GitHub Issue のコメント本文を操作することによって悪用されます。攻撃者は Issue を作成し、コメントに GitHub Actions ワークフローによって実行されるように設計された悪意のあるコマンドを挿入できます。ワークフローは、検証なしにこのコメントを直接使用して、ランナーのシェルで挿入されたコマンドを実行します。これにより、攻撃者はランナー環境で任意のコードを実行し、ファイルにアクセスしたり、システムコマンドを実行したり、基盤となるインフラストラクチャを侵害したりする可能性があります。悪用が容易であることと、高い深刻度を組み合わせることで、この脆弱性は特に懸念されます。
エクスプロイト状況
EPSS
0.23% (46% パーセンタイル)
CISA SSVC
CVE-2026-34243 の公式なパッチはまだありませんが、解決策がリリースされるまで wenxian を本番環境で使用しないことを強くお勧めします。一時的な軽減策として、影響を受ける GitHub Actions ワークフローを無効にするか、issuecomment.body をシェルコマンドで直接使用しないように変更できます。別の方法として、コマンドで使用する前に issuecomment.body 入力を厳密に検証およびサニタイズする必要がありますが、これは複雑になる可能性があり、すべての潜在的なインジェクションを排除できるとは限りません。wenxian リポジトリを将来のアップデートで監視し、利用可能になったらパッチを適用することが重要です。さらに、他の GitHub Actions ワークフローで、信頼できない入力の使用に関する同様のパターンがないか確認および監査することが推奨されます。
公開時点で使用可能な修正バージョンはありません。脆弱性を修正するアップデートが公開されるまで、GitHub アクションの使用を避けることをお勧めします。あるいは、コマンドインジェクション (Command Injection) を防ぐために、`issue_comment.body` 入力の厳密な検証を実装できます。
脆弱性分析と重要アラートをメールでお届けします。
wenxian は、DOI、PMID、または記事タイトルなどの識別子から BibTeX ファイルを生成するツールです。
GitHub Actions ランナーで任意のコマンドの実行が可能になり、ランナーと関連データのセキュリティが危険にさらされる可能性があります。
パッチがリリースされるまで、影響を受けるワークフローを無効にするか、入力の厳密な検証を実装してください。
現在、パブリックに利用可能なパッチはありません。
シェルコマンドで信頼できない入力を直接使用せず、すべてのユーザー入力に対して厳密な検証とサニタイズを実行してください。
CVSS ベクトル