CVE-2026-35580
CriticalSummary
Emissary to oparty na P2P silnik workflow oparty na danych. W wersjach przed 8.39.0 pliki workflow GitHub Actions zawierały punkty wstrzyknięcia poleceń powłoki, gdzie dane wejściowe kontrolowane przez użytkownika były interpolowane bezpośrednio w poleceniach powłoki, co mogło prowadzić do wstrzyknięcia dowolnych poleceń powłoki.
Risk Assessment
Atakujący z dostępem do zapisu w repozytorium mógłby wstrzyknąć złośliwe polecenia, co prowadziłoby do skażenia repozytorium i kompromitacji łańcucha dostaw, wpływając na wszystkich użytkowników downstream.
Recommendation
Zaleca się aktualizację do wersji 8.39.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć się przed potencjalnymi atakami.
Original NVD description (English source)
Emissary is a P2P based data-driven workflow engine. Prior to 8.39.0, GitHub Actions workflow files contained shell injection points where user-controlled workflow_dispatch inputs were interpolated directly into shell commands via ${{ }} expression syntax. An attacker with repository write access could inject arbitrary shell commands, leading to repository poisoning and supply chain compromise affecting all downstream users. This vulnerability is fixed in 8.39.0.

