CVE-2026-44246
nnU-Net: Agentic workflow injection in `.github/workflows/issue-triage.yml` of `MIC-DKFZ/nnUNet`
En resumen
El flujo de trabajo automático de clasificación de problemas en nnU-Net puede ser manipulado por atacantes mediante issues personalizadas en GitHub. Un atacante puede inyectar instrucciones maliciosas en el título o descripción de una issue, haciendo que un agente de IA ejecute acciones no intencionadas como cambiar etiquetas o publicar comentarios.
Detalle técnico
Inyección de Flujo Agentico (CWE-1427) en .github/workflows/issue-triage.yml permite que contenido no confiable de la issue (título, cuerpo) sea incrustado directamente en prompts enviados al agente Claude sin sanitización. El workflow otorga al agente permisos de ejecución de comandos gh con acceso de escritura, habilitando operaciones autenticadas de cambio de estado (relabel, comentario) disparadas por cualquier issue.opened de usuarios externos.
Resumen generado y traducido por IA a partir de la descripción oficial.
nnU-Net is a semantic segmentation framework that automatically adapts its pipeline to a dataset. Prior to 2.4.1, the nnU-Net Issue Triage workflow in .github/workflows/issue-triage.yml is vulnerable to Agentic Workflow Injection. The workflow sets allowed_non_write_users: ${{ github.event.issue.user.login }}, which means any logged-in GitHub user who opens an issue can reach this agentic workflow with attacker-controlled content. Untrusted issue title and body content are embedded directly into the prompt of anthropics/claude-code-action, and the workflow then runs a command-capable Claude agent with permission to comment on and relabel the current issue via gh. Because this workflow is triggered automatically on issues.opened, an external attacker can submit a crafted issue that steers the agent beyond its intended issue-triage purpose and influences authenticated issue actions. This vulnerability is fixed in 2.4.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N