CVE-2026-55576 in MaaAssistantArknights
Zusammenfassung
von VulDB • 16.07.2026
MaaAssistantArknights ist ein One-Click-Tool für tägliche Arknights-Aufgaben. Im aktuellen dev-v2-Workflow wurde der angreiferkontrollierte Wert von `github.event.pull_request.title` in die Datei `.github/workflows/release-preparation.yml` als Teil eines `run:`-Shellbefehls eingebettet, der bei den Ereignissen pull_request opened, reopened und ready_for_review ausgeführt wird. Dadurch konnte ein PR aus einem Fork (nicht im Entwurfsmodus), dessen Titel mit „Release v“ beginnt, Shell-Befehle auf dem ubuntu-latest-Läufer während des Jobs generate-changelog ausführen. Diese Schwachstelle wurde durch den Commit cafc3946059e6337d2089d4fec8b6885ba17c332 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.