Plataforma
github-enterprise
Componente
wenxian
Corrigido em
0.3.2
CVE-2026-34243 descreve uma vulnerabilidade de Command Injection no wenxian, uma ferramenta para gerar arquivos BIBTEX. Um workflow do GitHub Actions usa entrada não confiável diretamente em um comando shell, permitindo a execução de código arbitrário. A falha afeta versões anteriores ou iguais à 0.3.1. Não há patch oficial disponível.
A vulnerabilidade CVE-2026-34243 em wenxian, uma ferramenta para gerar arquivos BibTeX, apresenta um risco crítico devido à execução de comandos arbitrários. Versões 0.3.1 e anteriores utilizam diretamente a entrada não confiável do corpo dos comentários do GitHub Issues dentro de comandos de shell em um fluxo de trabalho do GitHub Actions. Isso permite que um atacante injete comandos maliciosos que serão executados no ambiente do runner do GitHub Actions. Com um score CVSS de 9.8, a severidade é extremamente alta, o que significa que a exploração bem-sucedida pode resultar no controle total do runner, comprometendo potencialmente dados sensíveis ou usando o runner para lançar ataques adicionais. A falta de um patch publicamente disponível agrava a situação, exigindo medidas de mitigação imediatas.
A vulnerabilidade é explorada por meio da manipulação do corpo de um comentário em um Issue do GitHub. Um atacante pode criar um Issue e, no comentário, incluir comandos maliciosos projetados para serem executados pelo fluxo de trabalho do GitHub Actions. O fluxo de trabalho, ao usar diretamente este comentário sem validação, executa os comandos injetados no shell do runner. Isso permite que o atacante execute código arbitrário no ambiente do runner, obtendo potencialmente acesso a arquivos, executando comandos do sistema ou até mesmo comprometendo a infraestrutura subjacente. A facilidade de exploração, combinada com a alta severidade, torna esta vulnerabilidade particularmente preocupante.
Status do Exploit
EPSS
0.23% (percentil 46%)
CISA SSVC
Vetor CVSS
Embora não exista um patch oficial para CVE-2026-34243, recomenda-se fortemente evitar o uso de wenxian em ambientes de produção até que uma solução seja lançada. Como medida de mitigação temporária, você pode desativar o fluxo de trabalho afetado do GitHub Actions ou modificá-lo para evitar o uso direto de issuecomment.body em comandos de shell. Uma alternativa é implementar uma validação e sanitização rigorosas da entrada issuecomment.body antes de usá-la em qualquer comando, embora isso possa ser complexo e não garanta a eliminação de todas as possíveis injeções. Monitorar os repositórios do wenxian para futuras atualizações e aplicar o patch assim que estiver disponível é crucial. Além disso, revisar e auditar outros fluxos de trabalho do GitHub Actions em busca de padrões semelhantes de uso de entrada não confiável é uma boa prática de segurança.
Não há uma versão corrigida disponível no momento da publicação. Recomenda-se evitar o uso da ação do GitHub até que seja publicada uma atualização que solucione a vulnerabilidade. Alternativamente, pode-se implementar uma validação estrita da entrada `issue_comment.body` para prevenir a injeção de comandos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
wenxian é uma ferramenta que gera arquivos BibTeX a partir de identificadores como DOI, PMID ou títulos de artigos.
Ela permite a execução de comandos arbitrários no runner do GitHub Actions, o que pode comprometer a segurança do runner e os dados associados.
Desative o fluxo de trabalho afetado ou implemente uma validação de entrada rigorosa até que um patch seja lançado.
Atualmente, não há um patch publicamente disponível.
Evite o uso direto de entrada não confiável em comandos de shell e realize uma validação e sanitização rigorosas de qualquer entrada do usuário.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.