CVE-2026-8634
KrytyczneStreszczenie
Crabbox w wersjach przed v0.12.0 zawiera podatność na ujawnienie zmiennych środowiskowych, która pozwala atakującym z dostępem do złośliwego lub skompromitowanego repozytorium na przesyłanie lokalnych sekretów, takich jak tokeny API, dane uwierzytelniające do chmury i tokeny brokera do zdalnego środowiska poleceń.
Ocena ryzyka
Atakujący mogą wykorzystać zbyt luźne zasady dotyczące dozwolonych zmiennych środowiskowych w konfiguracji Crabbox, co prowadzi do ujawnienia wrażliwych danych uwierzytelniających w zdalnym środowisku.
Rekomendacja
Zaleca się aktualizację Crabbox do wersji v0.12.0 lub nowszej oraz przegląd zasad dotyczących zmiennych środowiskowych w konfiguracji repozytoriów, aby zminimalizować ryzyko ujawnienia danych.
Oryginalny opis (angielski, źródło NVD)
Crabbox prior to v0.12.0 contains an environment variable exposure vulnerability that allows attackers with access to a malicious or compromised repository to forward local secrets such as API tokens, cloud credentials, and broker tokens into the remote command environment. Attackers can exploit overly permissive environment variable allowlisting in repo-local Crabbox configuration to serialize sensitive environment variables into remote command execution, exposing credentials to the remote environment.

