CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-34243

Critical
Published: Translated: NVD NIST

Summary

Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.

Risk Assessment

Luka ta stwarza ryzyko wykonania złośliwego kodu, co może prowadzić do kompromitacji systemu, w którym działa runner. Organizacje mogą być narażone na ataki, które mogą wpłynąć na bezpieczeństwo danych i integralność systemów.

Recommendation

Zaleca się aktualizację narzędzia wenxian do najnowszej wersji, gdy tylko będzie dostępna poprawka. Należy również rozważyć ograniczenie dostępu do workflow GitHub Actions, aby zminimalizować ryzyko wykorzystania tej podatności.

Original NVD description (English source)

wenxian is a tool to generate BIBTEX files from given identifiers (DOI, PMID, arXiv ID, or paper title). In versions 0.3.1 and prior, a GitHub Actions workflow uses untrusted user input from issue_comment.body directly inside a shell command, allowing potential command injection and arbitrary code execution on the runner. At time of publication, there are no publicly available patches.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS