CVE-2026-25244 in WebdriverIOالمعلومات

الملخص

بحسب VulDB • 18/05/2026

WebdriverIO هو إطار عمل لأتمتة الاختبارات يغطي اختبارات الوحدات (unit)، واختبارات النهاية إلى النهاية (e2e)، واختبارات المكونات (component)، باستخدام WebDriver، وWebDriver BiDi، وAppium. تحتوي الإصدارات الأقل من 9.24.0 على ثغرة حقن أوامر (command injection) تؤدي إلى تنفيذ كود عن بُعد (RCE) في عملية تنسيق الاختبارات. يسمح Git باستخدام أسماء فروع (branches) تحتوي على أحرف خاصة في الأصداف (shell metacharacters)، وتقوم الدالة `getGitMetadataForAISelection()` بتضمين هذه الأسمات مباشرةً في استدعاءات `execSync()` دون أي عملية تنقية (sanitization). يمكن للمهاجم استغلال هذه الثغرة عن طريق تزويد مستودع ضار (عبر `testOrchestrationOptions.runSmartSelection.source`، أو الدليل الحالي إذا لم يتم تعيينه)، بحيث يحمل اسم الفرع حمولة ضارة (payload)، مما يتسبب في تنفيذ الأصداف لأوامر عشوائية. يتيح ذلك تنفيذ الكود عن بُعد على خوادم CI/CD وأجهزة المطورين، مما يؤدي إلى كشف بيانات الاعتماد والأسرار، وسرقة الكود المصدري ومفاتيح SSH، واختراق النظام، وهجمات سلسلة التوريد عبر تعديل ملفات البناء (build artifacts). تم إصلاح هذه المشكلة في الإصدار 9.24.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

30/01/2026

إفشاء

19/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364501

EPSS

0.00150

KEV

لا

النشاطات

منخفض

القطاع

Energy, Lawfirm, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-25244
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-25244
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-25244/

التالي نظرة عامة السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!