WPGraphQL предоставляет API GraphQL для сайтов WordPress. До версии 2.9.1 репозиторий `wp-graphql/wp-graphql` содержал рабочий процесс GitHub Actions (`release.yml`), уязвимый для внедрения команд ОС посредством прямого использования `${{ github.event.pull_request.body }}` внутри блока оболочки `run:`. Когда запрос на включение из «develop» в «master» объединяется, тело PR дословно вводится в команду оболочки, что позволяет выполнять произвольную команду в средстве запуска действий.
Версия 2.9.1 содержит исправление уязвимости.
Показать оригинальное описание (EN)
WPGraphQL provides a GraphQL API for WordPress sites. Prior to version 2.9.1, the `wp-graphql/wp-graphql` repository contains a GitHub Actions workflow (`release.yml`) vulnerable to OS command injection through direct use of `${{ github.event.pull_request.body }}` inside a `run:` shell block. When a pull request from `develop` to `master` is merged, the PR body is injected verbatim into a shell command, allowing arbitrary command execution on the Actions runner. Version 2.9.1 contains a fix for the vulnerability.
Характеристики атаки
Последствия
Строка CVSS v3.1