Platform
go
Component
github.com/nektos/act
Opgelost in
0.2.87
0.2.86
CVE-2026-34042 is een kwetsbaarheid voor Remote Code Execution (RCE) in 'act', een project om Github Actions lokaal uit te voeren. Voor versie 0.2.86 luistert de ingebouwde actions/cache server op alle interfaces, waardoor onbevoegden caches kunnen creëren en bestaande caches kunnen ophalen. Door cache keys te voorspellen, kunnen kwaadwillenden schadelijke caches creëren, wat mogelijk leidt tot RCE binnen de Docker container. Deze kwetsbaarheid is verholpen in versie 0.2.86.
CVE-2026-34042, een kwetsbaarheid in de act: actions/cache server van github.com/nektos/act, maakt misbruik van een onvoldoende beveiligde cache-injectie. Een aanvaller die controle heeft over de GitHub Actions workflow kan kwaadaardige data in de cache injecteren. Dit kan leiden tot het uitvoeren van willekeurige code tijdens de cache-herstel fase van de workflow. Stel dat een aanvaller een kwaadaardige actie in de cache plaatst die, wanneer hersteld, een shell-commando uitvoert. Dit commando kan bijvoorbeeld gevoelige omgevingsvariabelen uitlezen, bestanden op de host machine kopiëren of zelfs een backdoor installeren. De blast radius is afhankelijk van de permissies van de GitHub Actions workflow. Workflows met toegang tot gevoelige resources, zoals cloud credentials of API keys, zijn bijzonder kwetsbaar. De impact kan variëren van het compromitteren van de geheime sleutels van een project tot het verkrijgen van controle over de onderliggende infrastructuur waarop de GitHub Actions draaien. Het is cruciaal om workflows te inspecteren en te beveiligen om te voorkomen dat kwaadaardige code wordt geïnjecteerd en uitgevoerd. De kwetsbaarheid is significant omdat GitHub Actions een steeds populairdere manier is om software te automatiseren en te integreren, waardoor een succesvolle exploitatie verstrekkende gevolgen kan hebben.
Op dit moment zijn er geen publiekelijk beschikbare exploitatie rapporten (KEV) bekend voor CVE-2026-34042. Dit betekent dat er geen openbaar toegankelijke Proof-of-Concept (POC) code is die de kwetsbaarheid demonstreert. Echter, het feit dat de kwetsbaarheid bestaat en de potentiële impact aanzienlijk is, betekent dat het risico reëel is. Het is mogelijk dat aanvallers de kwetsbaarheid al in stilte exploiteren. De urgentie van het verhelpen van deze kwetsbaarheid is hoog, gezien de potentiële impact en het gebrek aan publieke exploitatie. Het is aan te raden om de act: actions/cache server zo snel mogelijk te updaten om het risico te minimaliseren. Houd de beveiligingsbulletins van github.com/nektos/act en de National Vulnerability Database (NVD) in de gaten voor updates over de exploitatie status.
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
Om CVE-2026-34042 te verhelpen, is het essentieel om de act: actions/cache server te updaten naar versie 0.2.86 of hoger. Deze versie bevat de benodigde correcties om de cache-injectie kwetsbaarheid te verhelpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de permissies van de GitHub Actions workflow. Dit kan bijvoorbeeld door de toegang tot gevoelige resources te beperken of door het gebruik van een sandbox-omgeving. Controleer na de upgrade of de workflow correct functioneert en geen onverwachte fouten optreden. Het is aan te raden om de workflow te testen met verschillende scenario's om te verzekeren dat de patch effectief is en geen regressies heeft veroorzaakt. Verifieer de versie van de act: actions/cache server in uw GitHub Actions workflows om te bevestigen dat u de beveiligingsupdate heeft geïmplementeerd. Gebruik de GitHub Actions security scanning tools om kwetsbaarheden te identificeren en te verhelpen.
Update act naar versie 0.2.86 of hoger. Deze versie corrigeert de kwetsbaarheid die kwaadaardige cache-injectie mogelijk maakt. De update voorkomt dat externe aanvallers kwaadaardige caches creëren en willekeurige code uitvoeren binnen de Docker containers.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34042 is a vulnerability in the act actions/cache server that allows malicious cache injection, potentially leading to arbitrary code execution within GitHub Actions workflows.
You are affected if you are using the nektos/act action in your GitHub Actions workflows and are running a version prior to 0.2.86.
Upgrade the nektos/act action to version 0.2.86 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or proof-of-concept code for CVE-2026-34042.
Refer to the National Vulnerability Database (NVD) entry at [https://nvd.nist.gov/vuln/detail/CVE-2026-34042](https://nvd.nist.gov/vuln/detail/CVE-2026-34042) and the vendor advisory for more information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.