CVE-2026-34243
CriticalSummary
Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.
Risk Assessment
Luka ta stwarza ryzyko wykonania złośliwego kodu, co może prowadzić do kompromitacji systemu, w którym działa runner. Organizacje mogą być narażone na ataki, które mogą wpłynąć na bezpieczeństwo danych i integralność systemów.
Recommendation
Zaleca się aktualizację narzędzia wenxian do najnowszej wersji, gdy tylko będzie dostępna poprawka. Należy również rozważyć ograniczenie dostępu do workflow GitHub Actions, aby zminimalizować ryzyko wykorzystania tej podatności.
Original NVD description (English source)
wenxian is a tool to generate BIBTEX files from given identifiers (DOI, PMID, arXiv ID, or paper title). In versions 0.3.1 and prior, a GitHub Actions workflow uses untrusted user input from issue_comment.body directly inside a shell command, allowing potential command injection and arbitrary code execution on the runner. At time of publication, there are no publicly available patches.

