dbt позволяет аналитикам и инженерам данных преобразовывать свои данные, используя те же методы, которые инженеры-программисты используют для создания приложений. Внутри повторно используемого рабочего процесса dbt-labs/actions/blob/main/.github/workflows/open-issue-in-repo.yml подготовительное задание использует peter-evans/find-comment для поиска существующего комментария, указывающего на то, что проблема с документацией уже была открыта. Выходные данные Steps.issue_comment.outputs.comment-body затем интерполируются непосредственно в оператор bash if.
Поскольку тело комментария представляет собой текст, контролируемый злоумышленником, и вставляется в синтаксис оболочки без экранирования, тело вредоносного комментария может выйти за пределы строки в кавычках и внедрить произвольные команды оболочки. Эта уязвимость исправлена коммитом bbed8d28354e9c644c5a7df13946a3a0451f9ab9.
Показать оригинальное описание (EN)
dbt enables data analysts and engineers to transform their data using the same practices that software engineers use to build applications. Inside the reusable workflow dbt-labs/actions/blob/main/.github/workflows/open-issue-in-repo.yml, the prep job uses peter-evans/find-comment to search for an existing comment indicating that a docs issue has already been opened. The output steps.issue_comment.outputs.comment-body is then interpolated directly into a bash if statement. Because comment-body is attacker-controlled text and is inserted into shell syntax without escaping, a malicious comment body can break out of the quoted string and inject arbitrary shell commands. This vulnerability is fixed with commit bbed8d28354e9c644c5a7df13946a3a0451f9ab9.
Характеристики атаки
Последствия
Строка CVSS v4.0