act — это проект, который позволяет локально запускать действия github. До версии 0.2.86 act безоговорочно обрабатывает устаревшие команды рабочего процесса ::set-env:: и ::add-path::, которые были отключены из-за рисков внедрения в среду. Когда шаг рабочего процесса передает ненадежные данные на стандартный вывод, злоумышленник может внедрить эти команды, чтобы установить произвольные переменные среды или изменить PATH для всех последующих шагов задания.
Эта проблема исправлена в версии 0.2.86.
Показать оригинальное описание (EN)
act is a project which allows for local running of github actions. Prior to version 0.2.86, act unconditionally processes the deprecated ::set-env:: and ::add-path:: workflow commands, which was disabled due to environment injection risks. When a workflow step echoes untrusted data to stdout, an attacker can inject these commands to set arbitrary environment variables or modify the PATH for all subsequent steps in the job. This issue has been patched in version 0.2.86.
Характеристики атаки
Последствия
Строка CVSS v4.0