CVE-2026-34041 in act
Riassunto
di VulDB • 10/07/2026
act è un progetto che consente l'esecuzione locale di GitHub Actions. Prima della versione 0.2.86, act elabora incondizionatamente i comandi workflow deprecati ::set-env:: e ::add-path::, la cui esecuzione era stata disabilitata a causa dei rischi legati all'iniezione nell'ambiente. Quando un passaggio del flusso di lavoro scrive dati non attendibili su stdout, un attaccante può iniettare questi comandi per impostare variabili di ambiente arbitrarie o modificare il PATH per tutti i passaggi successivi nel job. Questo problema è stato risolto nella versione 0.2.86.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.