Plataforma
go
Componente
github.com/nektos/act
Corrigido em
0.2.87
0.2.86
CVE-2026-34042 descreve uma vulnerabilidade no act que permite a execução remota de código (RCE). O servidor de cache actions/cache integrado do act escuta conexões em todas as interfaces e permite que qualquer pessoa crie caches com chaves arbitrárias e recupere caches existentes. Um atacante pode criar caches maliciosos, permitindo a execução de código arbitrário. Esta vulnerabilidade afeta versões do act anteriores à 0.2.86. A correção está disponível na versão 0.2.86.
A vulnerabilidade CVE-2026-34042, presente no servidor de cache do actions/cache utilizado pelo act (github.com/nektos/act), permite a injeção maliciosa de cache. Um atacante com a capacidade de influenciar o conteúdo armazenado no cache pode comprometer a execução de ações dentro do ambiente act. Imagine um cenário onde um repositório GitHub utiliza act para executar testes de integração. Um atacante, comprometendo um branch ou pull request, poderia injetar um arquivo malicioso no cache. Quando act recuperar esse arquivo do cache durante a execução de uma ação subsequente, o código malicioso seria executado com as permissões do usuário que executa act. Isso pode levar à exfiltração de dados sensíveis, como chaves de API ou segredos armazenados no ambiente de execução, ou até mesmo à execução de comandos arbitrários no sistema host, dependendo das permissões concedidas ao usuário act. O raio de impacto é significativo, pois qualquer ação que utilize o cache comprometido estaria em risco, potencialmente afetando todo o pipeline de integração contínua e entrega contínua (CI/CD) associado ao repositório. A severidade do problema é alta devido à facilidade potencial de exploração e ao impacto que pode ter na segurança do software e dos dados.
Atualmente, não há relatos públicos de exploração ativa (KEV) da vulnerabilidade CVE-2026-34042. No entanto, a natureza da vulnerabilidade, que permite a injeção de código, a torna um alvo potencial para exploração futura. A ausência de um Proof of Concept (PoC) público não diminui a importância de aplicar a correção, pois um PoC pode ser desenvolvido a qualquer momento. Dada a alta pontuação de severidade (8.2) e o potencial impacto na segurança de pipelines de CI/CD, a urgência de aplicação da correção é alta. A falta de exploração pública atual não deve ser interpretada como uma garantia de segurança, mas sim como uma oportunidade para mitigar o risco antes que a vulnerabilidade seja explorada.
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A correção para a vulnerabilidade CVE-2026-34042 é a atualização para a versão 0.2.86 do act. Esta versão inclui correções que impedem a injeção maliciosa de cache. Recomenda-se fortemente atualizar o act o mais rápido possível. Se a atualização imediata não for possível, uma medida paliativa temporária pode ser a desabilitação do cache do act para os repositórios mais críticos, embora isso possa impactar o desempenho das ações. Após a atualização, é crucial verificar se a nova versão foi instalada corretamente. Isso pode ser feito executando act --version para confirmar que a versão reportada é 0.2.86 ou superior. Além disso, revise os logs de execução do act para identificar quaisquer anomalias ou erros relacionados ao cache após a atualização. A aplicação consistente dessas medidas minimiza o risco de exploração e garante a integridade do ambiente de execução do act.
Actualice act a la versión 0.2.86 o superior. Esta versión corrige la vulnerabilidad que permite la inyección de caché maliciosa. La actualización evitará que atacantes remotos creen cachés maliciosas y ejecuten código arbitrario dentro de los contenedores Docker.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34042 is a vulnerability in the act actions/cache server that allows malicious cache injection, potentially leading to arbitrary code execution within GitHub Actions workflows.
You are affected if you are using the nektos/act action in your GitHub Actions workflows and are running a version prior to 0.2.86.
Upgrade the nektos/act action to version 0.2.86 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or proof-of-concept code for CVE-2026-34042.
Refer to the National Vulnerability Database (NVD) entry at [https://nvd.nist.gov/vuln/detail/CVE-2026-34042](https://nvd.nist.gov/vuln/detail/CVE-2026-34042) and the vendor advisory for more information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.