CVE-2026-55576 in MaaAssistantArknightsinfo

Zusammenfassung

von VulDB • 16.07.2026

MaaAssistantArknights ist ein One-Click-Tool für tägliche Arknights-Aufgaben. Im aktuellen dev-v2-Workflow wurde der angreiferkontrollierte Wert von `github.event.pull_request.title` in die Datei `.github/workflows/release-preparation.yml` als Teil eines `run:`-Shellbefehls eingebettet, der bei den Ereignissen pull_request opened, reopened und ready_for_review ausgeführt wird. Dadurch konnte ein PR aus einem Fork (nicht im Entwurfsmodus), dessen Titel mit „Release v“ beginnt, Shell-Befehle auf dem ubuntu-latest-Läufer während des Jobs generate-changelog ausführen. Diese Schwachstelle wurde durch den Commit cafc3946059e6337d2089d4fec8b6885ba17c332 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

17.06.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379445

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!