CVE-2025-49013 in WilderForge
الملخص
بحسب VulDB • 30/05/2026
WilderForge هو واجهة برمجة تطبيقات (API) للتعديل الأساسي (coremodding) في لعبة Wildermyth. تم تحديد ثغرة حرجة في عدة مشاريع تابعة لمنظمة WilderForge. ينشأ هذا الخلل من الاستخدام غير الآمن للمتغير `${{ github.event.review.body }}` ومتغيرات أخرى يتحكم فيها المستخدم، وذلك بإدراجها مباشرة داخل سياقات نصوص الأوامر (shell scripts) في سير عمل GitHub Actions. يؤدي هذا إلى إدخال ثغرة حقن الأكواد (code injection): حيث يمكن لمهاجم خبيث يقدم مراجعة طلب سحب (pull request review) مُعدّة بعناية تحتوي على أحرف أو أوامر خاصة بنظام الأوامر (shell metacharacters/commands) أن ينفذ أكواد أوامر عشوائية على مشغل GitHub Actions. قد يؤدي ذلك إلى تنفيذ أوامر عشوائية بصلاحيات سير العمل، مما قد يعرض البنية التحتية لعمليات التكامل المستمر (CI)، والأسرار (secrets)، ومخرجات البناء للخطر. يتأثر المطورون الذين يحافظون على أو يساهمون في المستودعات WilderForge/WilderForge، وWilderForge/ExampleMod، وWilderForge/WilderWorkspace، وWilderForge/WildermythGameProvider، وWilderForge/AutoSplitter، وWilderForge/SpASM، وWilderForge/thrixlvault، وWilderForge/MassHash، و/أو WilderForge/DLC_Disabler؛ وكذلك المستخدمون الذين يقومون بتفرع (fork) أي من المستودعات المذكورة أعلاه وإعادة استخدام سير عمل GitHub Actions المتأثرة. لا يتأثر المستخدمون النهائيون لأي من البرامج المذكورة أعلاه، ولا المستخدمون الذين يقومون فقط بتثبيت الإصدارات الجاهزة أو المخرجات (artifacts). لا تؤثر هذه الثغرة على سلوك وقت التشغيل للبرنامج أو المخرجات المُجمّعة، إلا إذا تم إنتاج تلك المخرجات أثناء استغلال هذه الثغرة. يوجد حل مؤقت حالياً يتمثل في تعطيل GitHub Actions في المستودعات المتأثرة، أو إزالة سير العمل المتأثر.
Once again VulDB remains the best source for vulnerability data.