Platform
go
Component
github.com/nektos/act
Opgelost in
0.2.87
0.2.86
CVE-2026-34041 is een kwetsbaarheid in github.com/nektos/act die het mogelijk maakt om via ongecontroleerde 'set-env' en 'add-path' commando's environment variabelen te injecteren. Dit kan leiden tot ongeautoriseerde toegang en potentieel misbruik van het systeem. De kwetsbaarheid treft alle versies vóór 0.2.86 van github.com/nektos/act. Er is een fix beschikbaar in versie 0.2.86.
CVE-2026-34041 in act stelt aanvallers in staat om via de set-env en add-path commando's omgevingsvariabelen te injecteren. Dit kan leiden tot serieuze beveiligingsproblemen, met name in CI/CD pipelines. Een aanvaller die deze kwetsbaarheid kan misbruiken, kan kwaadaardige code uitvoeren binnen de context van de act-processen. Stel je voor dat een aanvaller een kwaadaardige set-env commando invoegt dat een omgevingsvariabele overschrijft die gebruikt wordt om build-instructies te bepalen. Dit kan resulteren in de uitvoering van ongewenste scripts of commando's tijdens het build-proces, mogelijk resulterend in het compromitteren van de build-artefacten of zelfs de gehele repository. De 'blast radius' is aanzienlijk, omdat de aanvaller potentieel toegang kan krijgen tot geheime sleutels, credentials en andere gevoelige informatie die tijdens de build-processen worden gebruikt. De kwetsbaarheid is vooral kritisch in omgevingen waar act wordt gebruikt voor het automatiseren van builds en deployments, omdat een succesvolle exploit kan leiden tot de verspreiding van besmette software naar productieomgevingen. Het risico is verhoogd wanneer act wordt uitgevoerd met verhoogde privileges of in omgevingen met beperkte beveiligingscontroles.
Op dit moment zijn er geen publiekelijk beschikbare exploitrapporten voor CVE-2026-34041 (KEV). Dit betekent dat er geen bekende, direct bruikbare exploits zijn die door aanvallers kunnen worden gebruikt. Echter, de kwetsbaarheid is significant en de potentiële impact is groot, wat betekent dat het risico nog steeds aanwezig is. Het is waarschijnlijk dat onderzoekers actief bezig zijn met het ontwikkelen van exploits, en het is belangrijk om proactief maatregelen te nemen om de kwetsbaarheid te verhelpen. Het ontbreken van publieke exploits betekent niet dat de kwetsbaarheid onschadelijk is; het betekent alleen dat het op dit moment minder waarschijnlijk is dat deze actief wordt misbruikt. De urgentie om deze kwetsbaarheid te verhelpen blijft hoog, gezien de potentiële impact en de mogelijkheid dat exploits in de toekomst beschikbaar komen.
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. This includes development teams using act to accelerate their workflows and those who store sensitive information as environment variables within their GitHub repositories. Shared hosting environments utilizing act also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server: Monitor GitHub Actions workflow logs for suspicious set-env or add-path commands. Use journalctl to filter for act-related processes and look for unusual environment variable modifications.
journalctl -u act -g 'set-env' --grep 'env=' | less• generic web: Examine GitHub Actions workflow definitions for any insecure usage of set-env or add-path. Review repository access controls to ensure only authorized users can modify workflows.
Public Disclosure
Exploit Status
EPSS
0.06% (19% percentiel)
De meest effectieve manier om CVE-2026-34041 te verhelpen is het updaten naar versie 0.2.86 of hoger van act. Deze versie bevat de benodigde correcties om de omgevingsinjectie te voorkomen. Indien een directe upgrade niet mogelijk is, is het raadzaam om de invoer van set-env en add-path commando's te valideren en te sanitiseren om kwaadaardige input te blokkeren. Dit kan bijvoorbeeld door een whitelist van toegestane karakters te implementeren of door de commando's te laten uitvoeren in een sandbox-omgeving met beperkte privileges. Controleer na de upgrade of de act-configuratie correct is en of de nieuwe versie probleemloos functioneert. Test de CI/CD pipelines grondig om er zeker van te zijn dat de kwetsbaarheid is verholpen en dat er geen onverwachte bijwerkingen zijn. Het is aan te raden om de act-versie regelmatig te updaten om te profiteren van de nieuwste beveiligingspatches en om de risico's te minimaliseren.
Actualice a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad de inyección de entorno al deshabilitar el procesamiento incondicional de los comandos de flujo de trabajo ::set-env:: y ::add-path::.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34041 is a HIGH severity vulnerability in act versions before 0.2.86 that allows attackers to inject environment variables, potentially compromising CI/CD pipelines.
If you are using act versions prior to 0.2.86, you are vulnerable. Check your act version and upgrade immediately.
Upgrade act to version 0.2.86 or later. If immediate upgrade isn't possible, implement stricter input validation for set-env and add-path commands.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation makes it a potential target. Monitor your systems closely.
Refer to the official act GitHub repository and release notes for the advisory and detailed information: https://github.com/nektos/act/releases
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.