HIGHCVE-2026-34041CVSS 7.5

CVE-2026-34041：act环境变量注入漏洞（≤0.2.86）

Q: CVE-2026-34041 是什么 — github.com/nektos/act 中的漏洞？

CVE-2026-34041 是 act 工具中的一个安全漏洞，允许攻击者通过环境变量注入执行恶意代码。

Q: github.com/nektos/act 中的 CVE-2026-34041 是否会影响我？

如果您的 act 工具版本低于 0.2.86，则可能受到此漏洞的影响。

Q: 如何修复 github.com/nektos/act 中的 CVE-2026-34041？

请将 act 工具升级到 0.2.86 或更高版本来修复此漏洞。

Q: CVE-2026-34041 是否正在被积极利用？

目前尚无公开的利用报告，但存在被利用的风险。

Q: 在哪里可以找到 github.com/nektos/act 关于 CVE-2026-34041 的官方安全通告？

请访问 NVD 网站或 act 工具的官方文档获取更多信息。

平台

组件

github.com/nektos/act

修复版本

0.2.87

0.2.86

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-34041是act项目中的一个环境变量注入漏洞。该漏洞允许攻击者通过在工作流步骤的标准输出中注入恶意命令来设置任意环境变量或修改PATH，影响后续步骤的执行。受影响的版本包括0.2.86之前的act版本。此问题已在0.2.86版本中得到修复。

影响与攻击场景

CVE-2026-34041 漏洞存在于 act 工具中，该工具用于本地运行 GitHub Actions 工作流程。该漏洞源于 set-env 和 add-path 命令对环境变量的处理不当，允许攻击者通过精心构造的 Actions 工作流程注入恶意环境变量。攻击者可以在构建过程中设置环境变量，从而影响后续步骤的行为。例如，攻击者可以修改环境变量 PATH，使其包含指向恶意脚本的路径，从而在 Actions 工作流程执行期间执行任意代码。如果攻击者能够控制 Actions 工作流程的触发，例如通过提交恶意代码到仓库，他们可以利用此漏洞在本地环境中执行恶意代码，窃取敏感信息，甚至可能影响到与 Actions 工作流程交互的其他系统。攻击的范围取决于 Actions 工作流程的权限和访问权限，可能包括访问仓库中的代码、环境变量和构建环境。由于 act 模拟了 GitHub Actions 环境，因此该漏洞也可能影响使用 act 进行本地测试和开发的场景，带来潜在的安全风险。

利用背景

目前，CVE-2026-34041 漏洞尚无公开的利用报告 (KEV)。这意味着尚未发现针对此漏洞的公开利用代码或攻击案例。然而，由于该漏洞允许执行任意代码，并且其利用难度相对较低，因此存在被利用的风险。建议尽快修复此漏洞，以降低潜在的安全风险。虽然没有公开的 POC，但该漏洞的本质是环境变量注入，攻击者可以通过构造恶意的 Actions 工作流程来利用它。由于缺乏公开利用信息，漏洞的紧迫性取决于对 act 工具的使用情况和对潜在攻击的风险评估。如果 act 工具被广泛使用，并且用于处理敏感信息，则应尽快修复此漏洞。

哪些人处于风险中翻译中…

Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. This includes development teams using act to accelerate their workflows and those who store sensitive information as environment variables within their GitHub repositories. Shared hosting environments utilizing act also present a heightened risk due to the potential for cross-tenant exploitation.

检测步骤翻译中…

• linux / server: Monitor GitHub Actions workflow logs for suspicious set-env or add-path commands. Use journalctl to filter for act-related processes and look for unusual environment variable modifications.

journalctl -u act -g 'set-env' --grep 'env=' | less

• generic web: Examine GitHub Actions workflow definitions for any insecure usage of set-env or add-path. Review repository access controls to ensure only authorized users can modify workflows.

攻击时间线

2026-04-02Disclosure
Public Disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.06% (19% 百分位)

受影响的软件

组件github.com/nektos/act

供应商osv

影响范围修复版本

< 0.2.86 – < 0.2.860.2.87

—0.2.86

弱点分类 (CWE)

CWE-74

时间线

已保留2026-03-25
发布日期2026-04-02
EPSS 更新日期2026-04-07

缓解措施和替代方案

解决 CVE-2026-34041 漏洞的最佳方法是升级 act 工具到 0.2.86 或更高版本。该版本已经修复了此漏洞。如果无法立即升级，可以考虑以下缓解措施：限制 Actions 工作流程的权限，确保工作流程只具有执行其所需任务的最小权限；审查 Actions 工作流程的代码，查找潜在的恶意环境变量注入点；禁用 set-env 和 add-path 命令，如果这些命令不是工作流程所必需的。在升级或应用缓解措施后，务必验证修复是否有效。可以通过运行包含 set-env 或 add-path 命令的 Actions 工作流程，并检查环境变量是否按照预期设置来验证。如果升级后出现问题，请查阅 act 的官方文档或寻求社区支持。

修复方法

更新到 0.2.86 或更高版本。此版本通过禁用对 ::set-env:: 和 ::add-path:: 工作流命令的无条件处理来修复环境注入漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34041 是什么 — github.com/nektos/act 中的漏洞？