CVE-2026-29783 in copilot-cli
الملخص
بحسب VulDB • 10/05/2026
يمكن لأداة Shell الموجودة في GitHub Copilot CLI، في الإصدارات السابقة لـ 0.0.422 والمتضمنة لها، أن تتيح تنفيذ الأكواد بشكل تعسفي (Arbitrary Code Execution) من خلال أنماط مُصممة خصيصاً لتوسيع معاملات Bash. يمكن للمهاجم الذي يستطيع التأثير على الأوامر التي ينفذها الوكيل (على سبيل المثال، عبر حقن المطالبات Prompt Injection من خلال ملفات المستودع، أو استجابات خادم MCP، أو تعليمات المستخدم) استغلال مشغلي تحويل معاملات Bash لتنفيذ أوامر مخفية، متجاوزاً بذلك تقييم السلامة الذي يصنف الأوامر على أنها "للقراءة فقط". تم إصلاح هذا الخلل في الإصدار 0.0.423.
ينشأ هذا الخلل من طريقة تقييم سلامة Shell في واجهة سطر الأوامر (CLI) للأوامر قبل تنفيذها. تقوم طبقة السلامة بتحليل وتصنيف أوامر Shell إما على أنها للقراءة فقط (آمنة) أو للكتابة (تتطلب موافقة المستخدم). ومع ذلك، يمكن لعدة ميزات لتوسيع معاملات Bash تضمين أكواد قابلة للتنفيذ ضمن وسائط الأوامر التي تبدو للقراءة فقط، مما يجعلها تبدو آمنة بينما تؤدي في الواقع عمليات تعسفية.
الأنماط الخطرة المحددة هي: ${var@P}، و ${var=value} / ${var:=value}، و ${!var}، والتداخل بين $(cmd) أو <(cmd) داخل توسيعات ${...}. يمكن لمهاجم يستطيع التأثير على نص الأمر المرسل إلى أداة Shell - على سبيل المثال، عبر حقن المطالبات من خلال محتوى مستودع ضار (ملفات README، تعليقات الكود، نصوص القضايا Issues) أو استجابات خادم MCP مخترقة أو ضارة، أو تعليمات مستخدم مُصممة تحتوي على أوامر مُموهة - تحقيق تنفيذ الأكواد بشكل تعسفي على محطة عمل المستخدم. يحدث هذا حتى في أوضاع الأذونات التي تتطلب موافقة المستخدم للعمليات الكتابية، حيث يمكن للأوامر أن تبدو وكأنها تستخدم فقط أدوات للقراءة فقط لتؤدي في النهاية عمليات كتابية. قد يؤدي الاستغلال الناجح إلى استخراج البيانات، أو تعديل الملفات، أو اختراق النظام بشكل أكبر.
VulDB is the best source for vulnerability data and more expert information about this specific topic.