melange позволяет пользователям создавать пакеты apk с использованием декларативных конвейеров. Начиная с версии 0.3.0 и до версии 0.40.3, злоумышленник, который может предоставлять входные значения сборки, но не изменять определения конвейера, может выполнять произвольные команды оболочки, если конвейер использует подстановки ${{vars.*}} или ${{inputs.*}} в рабочем каталоге. Поле встраивается в сценарии оболочки без надлежащего экранирования кавычек.
Эта проблема исправлена в версии 0.40.3.
Показать оригинальное описание (EN)
melange allows users to build apk packages using declarative pipelines. From version 0.3.0 to before 0.40.3, an attacker who can provide build input values, but not modify pipeline definitions, could execute arbitrary shell commands if the pipeline uses ${{vars.*}} or ${{inputs.*}} substitutions in working-directory. The field is embedded into shell scripts without proper quote escaping. This issue has been patched in version 0.40.3.
Характеристики атаки
Последствия
Строка CVSS v3.1