| Produkt | tj-actions/branch-names – wersje wcześniejsze niż 8.2.1 |
| Numer CVE | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L |
| Krytyczność | 9.1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L |
| Opis | W przepływie pracy tj-actions/branch-names GitHub Action zidentyfikowano krytyczną lukę w zabezpieczeniach, która umożliwia wykonywanie dowolnych poleceń w podrzędnych przepływach pracy. Problem ten wynika z niespójnego oczyszczania danych wejściowych i braku znaków ucieczki w danych wyjściowych, co umożliwia złośliwym podmiotom wykorzystanie specjalnie spreparowanych nazw lub tagów gałęzi. Pomimo wdrożenia wewnętrznych mechanizmów oczyszczania, dane wyjściowe akcji pozostają podatne na ataki, narażając przetwarzane przepływy pracy na poważne zagrożenia bezpieczeństwa. |
| Aktualizacja | TAK |
| Link | https://github.com/tj-actions/branch-names/security/advisories/GHSA-gq52-6phf-x2r6 |
GitLab publikuje aktualizacje dla swoich produktów. (P25-243)
Powiązane
Podatności w oprogramowaniu Payload CMS
5 dni temu
Podatności w oprogramowaniu CGM CLININET
1 tydzień temu
Chrome i Firefox z podatnościami
1 tydzień temu