Krytyczna luka w narzędziu wenxian umożliwiająca wykonanie zdalnego kodu

Wenxian do generowania BIBTEX ma krytyczną lukę pozwalającą na wykonanie kodu przez niezweryfikowane dane w GitHub Actions. Zalecane jest ograniczenie użycia i monitorowanie.
CVE-2026-34243CVSS 9.8General

Krytyczna luka w narzędziu wenxian umożliwiająca wykonanie zdalnego kodu

Wenxian do generowania BIBTEX ma krytyczną lukę pozwalającą na wykonanie kodu przez niezweryfikowane dane w GitHub Actions. Zalecane jest ograniczenie użycia i monitorowanie.

CVSS
9.8 CRITICAL
EPSS
80.09%
Aktywnie wykorzystywana
brak w KEV
Produkt
wenxian

Co wiadomo

W narzędziu wenxian w wersji 0.3.1 i wcześniejszych wykryto krytyczną lukę, która pozwala na wstrzyknięcie poleceń poprzez niezweryfikowane dane wejściowe w GitHub Actions. Luka ta umożliwia wykonanie dowolnego kodu na środowisku uruchomieniowym workflow.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.8) może prowadzić do przejęcia kontroli nad środowiskiem CI/CD, co zagraża integralności i bezpieczeństwu procesów budowania i wdrażania oprogramowania. Organizacje korzystające z wenxian w swoich pipeline'ach powinny traktować tę lukę priorytetowo, aby uniknąć potencjalnych ataków i naruszeń danych.

Rekomendowane działania administratora

Zaleca się natychmiastowe zaprzestanie używania wersji 0.3.1 i wcześniejszych narzędzia wenxian w środowiskach produkcyjnych. Należy monitorować oficjalne kanały dostawcy w celu uzyskania aktualizacji lub poprawek. W międzyczasie ograniczyć dostęp do workflow GitHub Actions, zweryfikować i filtrować dane wejściowe użytkowników oraz przeprowadzić przegląd logów pod kątem podejrzanej aktywności.

Źródła