tj-actions/changed-files command injection in output filenames
Una acción de GitHub que lista archivos modificados tenía una falla donde nombres de archivo especialmente diseñados podrían ejecutar comandos arbitrarios en el ejecutor, exponiendo potencialmente secretos o comprometiendo el proceso de compilación.
Vulnerabilidad de inyección de comandos CWE-74/CWE-77 en tj-actions/changed-files anterior a la versión 41.0.0 permite ejecución de código arbitrario mediante nombres de archivo maliciosos en ejecuciones de flujo de trabajo. El vector de ataque requiere que un atacante introduzca nombres de archivo especialmente diseñados en el repositorio; el impacto incluye ejecución de comandos no autorizada y potencial exposición de secretos en el entorno de GitHub Actions.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →