wenxian — это инструмент для создания файлов BIBTEX на основе заданных идентификаторов (DOI, PMID, идентификатор arXiv или название статьи). В версиях 0.3.1 и более ранних рабочий процесс GitHub Actions использует ненадежный пользовательский ввод из Issue_comment.body непосредственно внутри команды оболочки, что позволяет потенциально внедрять команды и выполнять произвольный код на бегуне. На момент публикации общедоступных патчей нет.
Показать оригинальное описание (EN)
wenxian is a tool to generate BIBTEX files from given identifiers (DOI, PMID, arXiv ID, or paper title). In versions 0.3.1 and prior, a GitHub Actions workflow uses untrusted user input from issue_comment.body directly inside a shell command, allowing potential command injection and arbitrary code execution on the runner. At time of publication, there are no publicly available patches.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Njzjz Wenxian
cpe:2.3:a:njzjz:wenxian:*:*:*:*:*:python:*:*
|
— |
<= 0.3.1
|