CVE-2026-34243: Критична вразливість командної ін'єкції в wenxian
Виявлено критичну вразливість командної ін'єкції в wenxian 0.3.1 і раніше, що дозволяє виконувати довільний код через GitHub Actions.
- CVSS
- 9.8 CRITICAL
- EPSS
- 80.09%
- Активно використовується
- немає в KEV
- Продукт
- wenxian
Що відомо
В інструменті wenxian версії 0.3.1 і раніше виявлено критичну вразливість, що дозволяє виконувати довільний код через ін'єкцію команд у GitHub Actions workflow. Проблема виникає через використання неперевіреного вводу користувача безпосередньо в shell-команді.
Бізнес-вплив
Ця вразливість може призвести до виконання шкідливого коду на сервері, що запускає GitHub Actions, що ставить під загрозу безпеку CI/CD процесів і може спричинити компрометацію інфраструктури. Власникам проектів, які використовують wenxian, слід розглянути ризики, особливо якщо workflow обробляє вхідні дані від користувачів.
Рекомендовані дії адміністратора
Рекомендується негайно переглянути використання GitHub Actions у проєкті та обмежити або перевіряти вхідні дані, що потрапляють у shell-команди. Слід стежити за оновленнями від розробника для виправлення вразливості. Також варто провести аудит логів на предмет підозрілої активності та обмежити доступ до CI/CD середовища.