CVE-2026-44723 in vowpal_wabbitinformación

Resumen

por VulDB • 2026-05-30

Vowpal Wabbit es un sistema de aprendizaje automático. El flujo de trabajo .github/workflows/python_checks.yml incrusta directamente ${{ github.event.pull_request.title }} dentro de cadenas de bash entrecomilladas en cuatro pasos separados a lo largo de cuatro trabajos, pasando cada uno de ellos como un argumento de la línea de comandos (CLI) al script de pruebas de Python run_tests_model_gen_and_load.py. El shell interpreta la cadena expandida antes de invocar Python, lo que permite a un atacante escapar de las comillas y ejecutar comandos arbitrarios en el ejecutor (runner). El activador pull_request se dispara en solicitudes de extracción (PR) dirigidas a cualquier rama (branches: ['*']), sin ningún control de acceso adicional. Esta vulnerabilidad se corrige mediante el commit 998e390e80a7e8192d7849b7784bc113dbd190ad.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-07

Divulgación

2026-05-26

Moderación

aceptado

Artículo

VDB-365697

CPE

listo

EPSS

0.00045

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44723
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44723
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44723/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!