CVE-2026-34243: Критична вразливість командної ін'єкції в wenxian

Виявлено критичну вразливість командної ін'єкції в wenxian 0.3.1 і раніше, що дозволяє виконувати довільний код через GitHub Actions.
CVE-2026-34243CVSS 9.8General

CVE-2026-34243: Критична вразливість командної ін'єкції в wenxian

Виявлено критичну вразливість командної ін'єкції в wenxian 0.3.1 і раніше, що дозволяє виконувати довільний код через GitHub Actions.

CVSS
9.8 CRITICAL
EPSS
80.09%
Активно використовується
немає в KEV
Продукт
wenxian

Що відомо

В інструменті wenxian версії 0.3.1 і раніше виявлено критичну вразливість, що дозволяє виконувати довільний код через ін'єкцію команд у GitHub Actions workflow. Проблема виникає через використання неперевіреного вводу користувача безпосередньо в shell-команді.

Бізнес-вплив

Ця вразливість може призвести до виконання шкідливого коду на сервері, що запускає GitHub Actions, що ставить під загрозу безпеку CI/CD процесів і може спричинити компрометацію інфраструктури. Власникам проектів, які використовують wenxian, слід розглянути ризики, особливо якщо workflow обробляє вхідні дані від користувачів.

Рекомендовані дії адміністратора

Рекомендується негайно переглянути використання GitHub Actions у проєкті та обмежити або перевіряти вхідні дані, що потрапляють у shell-команди. Слід стежити за оновленнями від розробника для виправлення вразливості. Також варто провести аудит логів на предмет підозрілої активності та обмежити доступ до CI/CD середовища.

Джерела