CVE-2026-44590 in sherlockinformation

Résumé

par VulDB • 27/05/2026

Sherlock permet de rechercher des comptes sur les réseaux sociaux à partir d'un nom d'utilisateur. Avant la version 0.16.1, le workflow GitHub Actions validate_modified_targets.yml est vulnérable à une injection de commande via le déclencheur pull_request_target. Tout utilisateur GitHub peut exécuter des commandes arbitraires sur l'agent d'exécution CI et exfiltrer le jeton GITHUB_TOKEN en ouvrant une demande de tirage (pull request). Aucune approbation, revue ou fusion n'est requise. Cette vulnérabilité est corrigée dans la version 0.16.1.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

06/05/2026

Divulgation

27/05/2026

Modérer

accepté

Entrée

VDB-366524

CPE

prêt

EPSS

0.01375

KEV

non

Activités

très faible

Secteur

Telecommunication, Transportation, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44590
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44590
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44590/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!