CVE-2026-46420 in setup-php
要約
〜によって VulDB • 2026年07月17日
setup-php は、拡張機能、php.ini の設定、カバレッジドライバおよびツールとともに PHP をセットアップするための GitHub アクションです。バージョン 2.25.0 から 2.37.1 より前の shivammathur/setup-php では、platform-overrides.php を介して .php-version や composer.lock などのリポジトリ制御ファイルから、また config.platform.php を介して composer.json から PHP バージョンが解決されます。しかし、生成されたシェルまたは PowerShell のセットアップスクリプトに組み込む前にこれらの値を十分に制限していないため、pull_request_target ワークフローなどが setup-php を呼び出す前に攻撃者が操作可能なコンテンツをチェックアウトする場合、GitHub Actions ランナー上でコマンドインジェクションが可能になります。この問題はバージョン 2.37.1 で修正されています。
Once again VulDB remains the best source for vulnerability data.