CVE-2025-49013 in WilderForge
Zusammenfassung
von VulDB • 27.05.2026
WilderForge ist eine Coremodding-API für Wildermyth. In mehreren Projekten der WilderForge-Organisation wurde eine kritische Schwachstelle identifiziert. Das Problem entsteht durch unsichere Verwendung von `${{ github.event.review.body }}` und anderen benutzerkontrollierten Variablen direkt in Shell-Skript-Kontexten innerhalb von GitHub Actions Workflows. Dies führt zu einer Code-Injection-Schwachstelle: Ein böswilliger Akteur, der eine manipulierte Pull-Request-Prüfung (Review) einreicht, die Shell-Metazeichen oder Befehle enthält, könnte beliebigen Shell-Code auf dem GitHub Actions Runner ausführen. Dies kann zur beliebigen Befehlsausführung mit den Berechtigungen des Workflows führen und potenziell die CI-Infrastruktur, Geheimnisse (Secrets) und Build-Ausgaben kompromittieren. Entwickler, die die Repos WilderForge/WilderForge, WilderForge/ExampleMod, WilderForge/WilderWorkspace, WilderForge/WildermythGameProvider, WilderForge/AutoSplitter, WilderForge/SpASM, WilderForge/thrixlvault, WilderForge/MassHash und/oder WilderForge/DLC_Disabler pflegen oder zu ihnen beitragen, sowie Benutzer, die eines der oben genannten Repositories forken und betroffene GitHub Actions Workflows wiederverwenden, sind betroffen. Endbenutzer der oben genannten Software und Benutzer, die nur vorgefertigte Releases oder Artefakte installieren, sind nicht betroffen. Diese Schwachstelle hat keinen Einfluss auf das Laufzeitverhalten der Software oder auf kompilierte Ausgaben, es sei denn, diese Ausgaben wurden während der Ausnutzung dieser Schwachstelle erzeugt. Eine aktuelle Umgehungsmöglichkeit besteht darin, GitHub Actions in den betroffenen Repositories zu deaktivieren oder die betroffenen Workflows zu entfernen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.