平台
go
组件
github.com/nektos/act
修复版本
0.2.87
0.2.86
CVE-2026-34042是act项目中发现的远程代码执行漏洞。该项目允许本地运行github actions。该漏洞存在于0.2.86之前的版本中,act内置的actions/cache服务器监听所有接口的连接,允许攻击者创建恶意缓存,从而在docker容器中执行任意远程代码。该漏洞影响0.2.86之前的版本。已在act 0.2.86版本中修复。
CVE-2026-34042 影响 Docker 环境中使用了 nektos/act 缓存功能的系统。该漏洞源于 actions/cache 服务器允许恶意缓存注入。攻击者可以通过精心构造的缓存条目,在 act 执行 GitHub Actions 工作流时,注入恶意文件或脚本。例如,攻击者可以创建一个恶意的缓存条目,其中包含一个可执行脚本,并将其伪装成一个无害的依赖项。当 act 尝试从缓存中检索该条目时,它会执行该脚本,从而导致远程代码执行 (RCE)。受影响的数据包括工作流执行过程中使用的任何敏感信息,例如 API 密钥、密码或环境变量。攻击者的访问权限取决于 act 运行用户及其权限,可能包括访问主机文件系统、网络资源,甚至进一步渗透到整个 Docker 容器或主机环境中。攻击的范围取决于 act 的配置和权限,如果 act 以具有高权限的用户身份运行,则攻击的影响将更大。该漏洞的严重性被评定为高危,CVSS 评分高达 8.2。
目前,CVE-2026-34042 没有公开的利用报告 (KEV)。这意味着尚未发现该漏洞被实际利用的案例。然而,由于该漏洞允许远程代码执行,并且攻击者可以通过精心构造的缓存条目进行利用,因此仍然存在潜在的风险。虽然没有公开的 PoC,但该漏洞的严重性表明攻击者可能会尝试利用它。建议尽快升级到修复版本,以降低潜在风险。由于缺乏公开利用信息,但漏洞的潜在影响仍然很高,因此应将其视为高优先级安全问题。
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
解决 CVE-2026-34042 的最佳方法是升级到 nektos/act 的 0.2.86 或更高版本。此版本修复了恶意缓存注入漏洞。如果无法立即升级,可以考虑以下临时缓解措施:禁用 act 的缓存功能,或者限制 act 访问的文件系统和网络资源。禁用缓存功能会降低构建速度,但可以有效防止恶意缓存条目被执行。限制文件系统访问可以减少攻击者在成功利用漏洞后可能造成的损害。在升级或实施缓解措施后,务必验证 act 的配置是否正确,并检查是否有任何异常行为。建议定期扫描 Docker 镜像和容器,以检测潜在的安全漏洞。
请将 act 更新到 0.2.86 或更高版本。此版本修复了允许恶意缓存注入的漏洞。此更新将阻止远程攻击者创建恶意缓存并在 Docker 容器中执行任意代码。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34042 是一个影响 nektos/act 缓存功能的漏洞,允许攻击者通过恶意缓存注入执行代码。
使用 nektos/act 且版本低于 0.2.86 的系统可能受到此漏洞的影响。
升级到 nektos/act 的 0.2.86 或更高版本可以修复此漏洞。
目前没有公开的利用报告,但由于漏洞的严重性,仍然存在潜在的风险。
请参考 NVD 数据库:https://nvd.nist.gov/vuln/detail/CVE-2026-34042
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。