Platform
github-enterprise
Component
wenxian
Opgelost in
0.3.2
CVE-2026-34243 is een command injectie kwetsbaarheid in wenxian, een tool voor het genereren van BIBTEX bestanden. De kwetsbaarheid ontstaat doordat een GitHub Actions workflow onvertrouwde gebruikersinvoer direct in een shell commando gebruikt, wat leidt tot willekeurige code-uitvoering. Versies 0.3.1 en eerder zijn getroffen. Er is momenteel geen officiële patch beschikbaar.
De CVE-2026-34243-kwetsbaarheid in wenxian, een tool voor het genereren van BibTeX-bestanden, vormt een kritisch risico vanwege de uitvoering van willekeurige commando's. Versies 0.3.1 en eerder gebruiken directe invoer van niet-vertrouwde gebruikersinvoer van de issue_comment.body direct in shell-commando's binnen een GitHub Actions workflow. Dit stelt een aanvaller in staat kwaadaardige commando's in te voegen die op de GitHub Actions runner-omgeving worden uitgevoerd. Met een CVSS-score van 9.8 is de ernst extreem hoog, wat betekent dat een succesvolle exploitatie kan leiden tot volledige controle over de runner, mogelijk gevoelige gegevens kan compromitteren of de runner kan gebruiken om verdere aanvallen te lanceren. Het ontbreken van een publiekelijk beschikbare patch verergert de situatie en vereist onmiddellijke mitigerende maatregelen.
De kwetsbaarheid wordt uitgebuit door de manipulatie van de tekst van een commentaar in een GitHub Issue. Een aanvaller kan een Issue maken en in de commentaar kwaadaardige commando's invoegen die bedoeld zijn om door de GitHub Actions workflow te worden uitgevoerd. De workflow voert door het commentaar direct te gebruiken zonder validatie de geïnjecteerde commando's uit op de shell van de runner. Dit stelt de aanvaller in staat willekeurige code in de runner-omgeving uit te voeren, mogelijk toegang te krijgen tot bestanden, systeemcommando's uit te voeren of zelfs de onderliggende infrastructuur te compromitteren. De eenvoud van exploitatie, in combinatie met de hoge ernst, maakt deze kwetsbaarheid bijzonder zorgwekkend.
Exploit Status
EPSS
0.23% (46% percentiel)
CISA SSVC
CVSS-vector
Hoewel er geen officiële patch is voor CVE-2026-34243, wordt het ten zeerste aanbevolen om wenxian in productieomgevingen te vermijden totdat een oplossing is uitgebracht. Als tijdelijke mitigerende maatregel kunt u de getroffen GitHub Actions workflow uitschakelen of deze wijzigen om het directe gebruik van issuecomment.body in shell-commando's te vermijden. Een alternatief is het implementeren van een strenge validatie en desinfectie van de issuecomment.body-invoer voordat deze in een commando wordt gebruikt, hoewel dit complex kan zijn en niet garandeert dat alle potentiële injecties worden geëlimineerd. Het monitoren van wenxian-repositories op toekomstige updates en het toepassen van de patch zodra deze beschikbaar is, is cruciaal. Bovendien is het een goede beveiligingspraktijk om andere GitHub Actions workflows te beoordelen op vergelijkbare patronen van het gebruik van niet-vertrouwde invoer.
Er is geen gecorrigeerde versie beschikbaar op het moment van publicatie. Het wordt aanbevolen om het gebruik van de GitHub actie te vermijden totdat er een update is gepubliceerd die de kwetsbaarheid oplost. Als alternatief kan er een strikte validatie van de `issue_comment.body` input worden geïmplementeerd om command injection (Command Injection) te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
wenxian is een tool die BibTeX-bestanden genereert uit identificatoren zoals DOI, PMID of artikel titels.
Het maakt de uitvoering van willekeurige commando's op de GitHub Actions runner mogelijk, wat de veiligheid van de runner en de bijbehorende gegevens kan compromitteren.
Schakel de getroffen workflow uit of implementeer een strenge invoervalidatie totdat een patch is uitgebracht.
Momenteel is er geen publiekelijk beschikbare patch.
Vermijd het direct gebruik van niet-vertrouwde invoer in shell-commando's en voer een strenge validatie en desinfectie van alle gebruikersinvoer uit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.