Katalog CVE

CVE-2026-12567

NiskieCVSS 2.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Moduł github_workflows tworzy lokalne ścieżki katalogów z nazw repozytoriów kontrolowanych przez użytkownika, nie weryfikując symlinków. Lokalny atakujący może umieścić symlink w przewidywalnej ścieżce wyjściowej, co pozwala na zapisanie danych workflow w wybranej przez atakującego lokalizacji.

Ocena ryzyka

Atakujący może manipulować danymi workflow, co prowadzi do potencjalnego wycieku informacji lub usunięcia danych. Tego typu podatność może wpłynąć na integralność i poufność procesów w organizacji.

Rekomendacja

Zaleca się wprowadzenie walidacji ścieżek katalogów w module github_workflows, aby zapobiec wykorzystaniu symlinków przez lokalnych atakujących. Należy również ograniczyć dostęp do katalogów skanowania tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The github_workflows module constructs local directory paths from user-controlled repository names without validating for symlinks. A local attacker sharing the scan directory can plant a symlink at the predictable output path, causing workflow data to be written to an attacker-chosen location.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS