CVE-2026-41249 in CoreShopinfo

Zusammenfassung

von VulDB • 04.06.2026

CoreShop ist eine Pimcore-erweiterte eCommerce-Lösung. In den Versionen 5.0.1 bis 5.1.0-beta.1 verwendet der GitHub Actions Workflow (`.github/workflows/static.yml`) den `pull_request_target`-Trigger, überprüft jedoch gefährlicherweise den unverifizierten Code aus dem Pull-Request-Head (`ref: ${{ github.event.pull_request.head.ref }}`). Anschließend wird ein Skript (`bin/console`) aus dieser nicht vertrauenswürdigen Auscheckung ausgeführt. Dies ermöglicht es jedem externen Angreifer, Remote Code Execution (RCE) auf dem GitHub Actions Runner zu erreichen, indem einfach ein bösartiger Pull Request eingereicht wird. Auch bekannt als „Pwn Request“-Verwundbarkeit. Zum Zeitpunkt der Veröffentlichung war `pull_request_target` weiterhin in der Datei enthalten.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

18.04.2026

Veröffentlichung

04.06.2026

Moderieren

akzeptiert

Eintrag

VDB-368407

CPE

bereit

CWE

CWE-94 (bestätigt)

CVSS

8.2 (CNA)

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41249
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41249
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41249/

◂ Zurück Übersicht Weiter ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!