CRITICALCVE-2026-34243CVSS 9.8

CVE-2026-34243：wenxian <=0.3.1 命令注入漏洞（严重）

Q: CVE-2026-34243 是什么 — wenxian 中的 Command Injection？

wenxian 是一种从 DOI、PMID 或文章标题等标识符生成 BibTeX 文件的工具。

Q: wenxian 中的 CVE-2026-34243 是否会影响我？

它允许在 GitHub Actions 运行器上执行任意命令，从而可能危及运行器和相关数据的安全性。

Q: 如何修复 wenxian 中的 CVE-2026-34243？

禁用受影响的工作流或在发布补丁之前实施严格的输入验证。

Q: CVE-2026-34243 是否正在被积极利用？

目前没有公开可用的补丁。

Q: 在哪里可以找到 wenxian 关于 CVE-2026-34243 的官方安全通告？

避免在 shell 命令中直接使用不可信输入，并对所有用户输入执行严格的验证和清理。

平台

github-enterprise

组件

wenxian

修复版本

0.3.2

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-34243是wenxian工具中发现的命令注入漏洞，该工具用于从给定的标识符生成BIBTEX文件。此漏洞可能允许攻击者在受影响的系统上执行任意命令。受影响的版本包括0.3.1及更早版本。目前尚无公开可用的补丁。

影响与攻击场景

CVE-2026-34243 是 wenxian（一种用于生成 BibTeX 文件的工具）中的一个漏洞，由于任意命令执行而带来严重风险。0.3.1 及更早版本直接在 GitHub Actions 工作流中使用来自 issue_comment.body 的不可信用户输入到 shell 命令中。这使得攻击者可以将恶意命令注入到 GitHub Actions 运行器环境中执行。由于 CVSS 评分达到 9.8，因此严重程度极高，成功利用可能导致对运行器的完全控制，从而可能泄露敏感数据或使用运行器发起进一步攻击。目前没有公开可用的补丁，这加剧了情况，需要立即采取缓解措施。

利用背景

此漏洞是通过操纵 GitHub Issue 中评论的正文来利用的。攻击者可以创建一个 Issue，并在评论中插入旨在由 GitHub Actions 工作流执行的恶意命令。工作流通过在没有验证的情况下直接使用此评论，在运行器的 shell 上执行注入的命令。这使得攻击者可以在运行器环境中执行任意代码，从而可能访问文件、执行系统命令或破坏底层基础设施。易于利用以及高严重性使得此漏洞特别令人担忧。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.23% (46% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响total

受影响的软件

组件wenxian

供应商njzjz

影响范围修复版本

<= 0.3.1 – <= 0.3.10.3.2

弱点分类 (CWE)

CWE-77 CWE-78

时间线

已保留2026-03-26
发布日期2026-03-31
修改日期2026-04-02
EPSS 更新日期2026-04-08

未修复 — 披露已54天

缓解措施和替代方案

虽然目前还没有针对 CVE-2026-34243 的官方补丁，但强烈建议在发布解决方案之前避免在生产环境中部署 wenxian。作为临时缓解措施，您可以禁用受影响的 GitHub Actions 工作流或修改它以避免在 shell 命令中直接使用 issuecomment.body。另一种方法是在将 issuecomment.body 输入用于任何命令之前，对其进行严格的验证和清理，尽管这可能很复杂，并且不能保证消除所有潜在的注入。监控 wenxian 仓库以获取未来的更新并尽快应用补丁至关重要。此外，检查其他 GitHub Actions 工作流是否存在类似使用不可信输入的模式也是一种良好的安全实践。

修复方法

发布时没有可用的修复版本。建议避免使用 GitHub 操作，直到发布解决此漏洞的更新。或者，可以实现对 `issue_comment.body` 输入的严格验证，以防止命令注入 (Command Injection)。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34243 是什么 — wenxian 中的 Command Injection？