Plataforma
go
Componente
github.com/nektos/act
Corrigido em
0.2.87
0.2.86
A vulnerabilidade CVE-2026-34041 permite a injeção de ambiente devido ao processamento irrestrito dos comandos set-env e add-path no componente github.com/nektos/act. Isso pode levar à execução de código malicioso ou à modificação de configurações do sistema. Afeta versões anteriores à 0.2.86. A correção está disponível na versão 0.2.86.
A vulnerabilidade CVE-2026-34041 no act permite a injeção de ambiente devido ao processamento irrestrito dos comandos 'set-env' e 'add-path'. Um atacante, com acesso para configurar o act, pode manipular essas variáveis de ambiente para executar comandos arbitrários no contexto do agente de execução. Isso pode levar à exfiltração de dados sensíveis armazenados em variáveis de ambiente, como chaves de API, senhas ou tokens de acesso. O raio de impacto é significativo, pois um atacante pode potencialmente comprometer todo o ambiente de integração contínua (CI) onde o act está sendo usado. Por exemplo, um atacante poderia injetar um comando que copie arquivos confidenciais do repositório para um servidor controlado por ele, ou até mesmo instalar malware nos agentes de execução. A exploração bem-sucedida pode resultar em acesso não autorizado a sistemas internos, roubo de propriedade intelectual e interrupção do processo de desenvolvimento de software. A capacidade de injetar comandos arbitrários torna esta vulnerabilidade particularmente perigosa, permitindo uma ampla gama de ataques, desde a coleta de informações até a execução de código malicioso.
Atualmente, não há relatos públicos de exploração ativa (KEV) da vulnerabilidade CVE-2026-34041. No entanto, a natureza da vulnerabilidade, que permite a injeção de comandos arbitrários, a torna um alvo atraente para atacantes. A ausência de exploração pública não diminui a urgência de corrigir a vulnerabilidade, pois a descoberta e exploração podem ocorrer a qualquer momento. A falta de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco, mas a possibilidade de execução remota de código justifica a aplicação imediata da correção. É recomendável monitorar ativamente as fontes de inteligência de ameaças para detectar qualquer atividade suspeita relacionada a esta vulnerabilidade.
Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. This includes development teams using act to accelerate their workflows and those who store sensitive information as environment variables within their GitHub repositories. Shared hosting environments utilizing act also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server: Monitor GitHub Actions workflow logs for suspicious set-env or add-path commands. Use journalctl to filter for act-related processes and look for unusual environment variable modifications.
journalctl -u act -g 'set-env' --grep 'env=' | less• generic web: Examine GitHub Actions workflow definitions for any insecure usage of set-env or add-path. Review repository access controls to ensure only authorized users can modify workflows.
Public Disclosure
Status do Exploit
EPSS
0.06% (percentil 19%)
A correção para CVE-2026-34041 é a atualização para a versão 0.2.86 ou superior do act. Esta versão corrige o processamento inseguro dos comandos 'set-env' e 'add-path'. Se a atualização imediata não for possível, uma medida paliativa temporária é restringir severamente as permissões de configuração do act, limitando quais usuários podem modificar as variáveis de ambiente. É crucial revisar e fortalecer os controles de acesso para garantir que apenas usuários autorizados possam alterar a configuração do act. Após a atualização, verifique se as variáveis de ambiente críticas não foram comprometidas e se os processos de CI estão funcionando conforme o esperado. Realize testes de regressão para garantir que a atualização não introduziu novos problemas. A validação da correção deve incluir a tentativa de exploração da vulnerabilidade em um ambiente de teste para confirmar que a mitigação é eficaz.
Actualice a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad de inyección de entorno al deshabilitar el procesamiento incondicional de los comandos de flujo de trabajo ::set-env:: y ::add-path::.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34041 is a HIGH severity vulnerability in act versions before 0.2.86 that allows attackers to inject environment variables, potentially compromising CI/CD pipelines.
If you are using act versions prior to 0.2.86, you are vulnerable. Check your act version and upgrade immediately.
Upgrade act to version 0.2.86 or later. If immediate upgrade isn't possible, implement stricter input validation for set-env and add-path commands.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation makes it a potential target. Monitor your systems closely.
Refer to the official act GitHub repository and release notes for the advisory and detailed information: https://github.com/nektos/act/releases
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.