wenxian: Injeção de Comando no Workflow do GitHub Actions via `issue_comment.body`
Plataforma
github-enterprise
Componente
wenxian
Corrigido em
0.3.2
CVE-2026-34243 descreve uma vulnerabilidade de Command Injection no wenxian, uma ferramenta para gerar arquivos BIBTEX. Um workflow do GitHub Actions usa entrada não confiável diretamente em um comando shell, permitindo a execução de código arbitrário. A falha afeta versões anteriores ou iguais à 0.3.1. Não há patch oficial disponível.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-34243 em wenxian, uma ferramenta para gerar arquivos BibTeX, apresenta um risco crítico devido à execução de comandos arbitrários. Versões 0.3.1 e anteriores utilizam diretamente a entrada não confiável do corpo dos comentários do GitHub Issues dentro de comandos de shell em um fluxo de trabalho do GitHub Actions. Isso permite que um atacante injete comandos maliciosos que serão executados no ambiente do runner do GitHub Actions. Com um score CVSS de 9.8, a severidade é extremamente alta, o que significa que a exploração bem-sucedida pode resultar no controle total do runner, comprometendo potencialmente dados sensíveis ou usando o runner para lançar ataques adicionais. A falta de um patch publicamente disponível agrava a situação, exigindo medidas de mitigação imediatas.
Contexto de Exploração
A vulnerabilidade é explorada por meio da manipulação do corpo de um comentário em um Issue do GitHub. Um atacante pode criar um Issue e, no comentário, incluir comandos maliciosos projetados para serem executados pelo fluxo de trabalho do GitHub Actions. O fluxo de trabalho, ao usar diretamente este comentário sem validação, executa os comandos injetados no shell do runner. Isso permite que o atacante execute código arbitrário no ambiente do runner, obtendo potencialmente acesso a arquivos, executando comandos do sistema ou até mesmo comprometendo a infraestrutura subjacente. A facilidade de exploração, combinada com a alta severidade, torna esta vulnerabilidade particularmente preocupante.
Inteligência de Ameaças
Status do Exploit
EPSS
0.23% (percentil 46%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
Embora não exista um patch oficial para CVE-2026-34243, recomenda-se fortemente evitar o uso de wenxian em ambientes de produção até que uma solução seja lançada. Como medida de mitigação temporária, você pode desativar o fluxo de trabalho afetado do GitHub Actions ou modificá-lo para evitar o uso direto de issuecomment.body em comandos de shell. Uma alternativa é implementar uma validação e sanitização rigorosas da entrada issuecomment.body antes de usá-la em qualquer comando, embora isso possa ser complexo e não garanta a eliminação de todas as possíveis injeções. Monitorar os repositórios do wenxian para futuras atualizações e aplicar o patch assim que estiver disponível é crucial. Além disso, revisar e auditar outros fluxos de trabalho do GitHub Actions em busca de padrões semelhantes de uso de entrada não confiável é uma boa prática de segurança.
Como corrigir
Não há uma versão corrigida disponível no momento da publicação. Recomenda-se evitar o uso da ação do GitHub até que seja publicada uma atualização que solucione a vulnerabilidade. Alternativamente, pode-se implementar uma validação estrita da entrada `issue_comment.body` para prevenir a injeção de comandos.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-34243 — Command Injection em wenxian?
wenxian é uma ferramenta que gera arquivos BibTeX a partir de identificadores como DOI, PMID ou títulos de artigos.
Estou afetado pelo CVE-2026-34243 no wenxian?
Ela permite a execução de comandos arbitrários no runner do GitHub Actions, o que pode comprometer a segurança do runner e os dados associados.
Como corrijo o CVE-2026-34243 no wenxian?
Desative o fluxo de trabalho afetado ou implemente uma validação de entrada rigorosa até que um patch seja lançado.
O CVE-2026-34243 está sendo explorado ativamente?
Atualmente, não há um patch publicamente disponível.
Onde encontro o aviso oficial do wenxian para o CVE-2026-34243?
Evite o uso direto de entrada não confiável em comandos de shell e realize uma validação e sanitização rigorosas de qualquer entrada do usuário.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.