Katalog CVE

CVE-2025-53104

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece gluestack-ui, przed poprawką e6b4271, odkryto podatność na wstrzykiwanie poleceń w workflow GitHub Actions discussion-to-slack.yml. Nieufne pola dyskusji były bezpośrednio interpolowane w poleceniach powłoki, co umożliwiało atakującym wykonywanie dowolnych poleceń na runnerze Actions.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ atakujący mógłby uzyskać dostęp do systemu wykonawczego i uruchomić złośliwe polecenia. Może to prowadzić do utraty danych lub przejęcia kontroli nad środowiskiem wykonawczym.

Rekomendacja

Zaleca się usunięcie workflow discussion-to-slack.yml, jeśli korzystasz z forków lub pochodnych tej biblioteki. Upewnij się, że wszystkie komponenty są aktualne i nie zawierają znanych podatności.

Oryginalny opis (angielski, źródło NVD)

gluestack-ui is a library of copy-pasteable components & patterns crafted with Tailwind CSS (NativeWind). Prior to commit e6b4271, a command injection vulnerability was discovered in the discussion-to-slack.yml GitHub Actions workflow. Untrusted discussion fields (title, body, etc.) were directly interpolated into shell commands in a run: block. An attacker could craft a malicious GitHub Discussion title or body (e.g., $(curl ...)) to execute arbitrary shell commands on the Actions runner. This issue has been fixed in commit e6b4271 where the discussion-to-slack.yml workflow was removed. Users should remove the discussion-to-slack.yml workflow if using a fork or derivative of this repository.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS