CVE-2025-49013 in WilderForge
要約
〜によって VulDB • 2026年05月30日
WilderForgeはWildermythのコアmodding APIです。WilderForge組織内の複数のプロジェクトで、重大な脆弱性が特定されました。この問題は、GitHub Actionsワークフロー内のシェルスクリプトコンテキストで`${{ github.event.review.body }}`やその他のユーザー制御変数が安全でない方法で使用されていることに起因します。これによりコードインジェクション脆弱性が生じ、シェルスクリプトのメタ文字やコマンドを含む作成されたプルリクエストレビューを送信する悪意のある攻撃者が、GitHub Actionsランナー上で任意のシェルスクリプトコードを実行できる可能性があります。これにより、ワークフローの権限で任意のコマンドが実行され、CIインフラストラクチャ、シークレット、ビルド出力が侵害される可能性があります。WilderForge/WilderForge、WilderForge/ExampleMod、WilderForge/WilderWorkspace、WilderForge/WildermythGameProvider、WilderForge/AutoSplitter、WilderForge/SpASM、WilderForge/thrixlvault、WilderForge/MassHash、および/またはWilderForge/DLC_Disablerのリポジトリを維持または貢献している開発者、ならびに上記のリポジトリのいずれかをフォークして影響を受けるGitHub Actionsワークフローを再利用しているユーザーが影響を受けます。上記のソフトウェアの一般ユーザー、およびビルド済みリリースやアーティファクトのみをインストールするユーザーは影響を受けません。この脆弱性は、その脆弱性の悪用に起因して出力が生成されない限り、ソフトウェアの実行時動作やコンパイル済み出力には影響しません。現在の回避策は、影響を受けるリポジトリでGitHub Actionsを無効にするか、影響を受けるワークフローを削除することです。
Be aware that VulDB is the high quality source for vulnerability data.