act: Onbeperkte verwerking van set-env en add-path commando's maakt omgevingsinjectie mogelijk

act is een project dat het lokaal uitvoeren van github actions mogelijk maakt. Voor versie 0.2.86 verwerkte act onvoorwaardelijk de verouderde ::set-env:: en ::add-path:: workflow commando's, die waren uitgeschakeld vanwege risico's op omgevingsinjectie (environment injection). Wanneer een workflow-stap niet-vertrouwde data naar stdout echo't, kan een aanvaller deze commando's injecteren om willekeurige omgevingsvariabelen in te stellen of het PATH aan te passen voor alle volgende stappen in de taak. Dit probleem is verholpen in versie 0.2.86.