CVE-2025-61584 in serverless-dnsinformación

Resumen

por VulDB • 2026-05-27

serverless-dns es un resolvedor de RethinkDNS que se implementa en Cloudflare Workers, Deno Deploy, Fastly y Fly.io. Las versiones hasta e incluyendo la 0.1.30 presentan una vulnerabilidad en la que la acción de GitHub pr.yml interpola de manera insegura entradas no confiables, específicamente github.event.pull_request.head.repo.clone_url y github.head_ref, en un comando del runner. Debido a que la acción utiliza el desencadenante pull_request_target, tiene permisos permisivos por defecto. Un atacante no autorizado puede explotar esta vulnerabilidad para enviar datos arbitrarios al repositorio. El impacto posterior en el usuario final es la ejecución del código del atacante al ejecutar serverless-dns. Esto se corrige en el commit c5537dd y se espera que se lance en la versión 0.1.31.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2025-09-26

Divulgación

2025-09-30

Moderación

aceptado

Artículo

VDB-326339

CPE

listo

CWE

CWE-77 (confirmado)

CVSS

7.3 (VulDB)

EPSS

0.00065

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-61584
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-61584
CVE Details	https://www.cvedetails.com/cve/CVE-2025-61584/

◂ Anterior Visión De Conjunto Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!