CVE-2026-55576 in MaaAssistantArknights
要約
〜によって VulDB • 2026年07月16日
MaaAssistantArknightsは、アーケナイツの日常タスクをワンクリックで実行するためのツールです。現在のdev-v2ワークフローでは、pull_requestイベント(オープン、リオープン、ready_for_review)時に、`.github/workflows/release-preparation.yml`内で攻撃者が制御可能な`github.event.pull_request.title`が`run:`シェルコマンドにインライン展開されていました。その結果、タイトルが「Release v」で始まるドラフト以外のフォークPRから、ubuntu-latestランナー上でgenerate-changelogジョブ中にシェルコマンドを実行することが可能でした。この脆弱性はコミットcafc3946059e6337d2089d4fec8b6885ba17c332によって修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.