CVE-2025-49013 in WilderForge
요약
\~에 의해 VulDB • 2026. 05. 30.
WilderForge는 Wildermyth의 핵심 모드 개발 API입니다. WilderForge 조직 내 여러 프로젝트에서 치명적인 취약점이 확인되었습니다. 이 문제는 GitHub Actions 워크플로우 내에서 `${{ github.event.review.body }}` 및 기타 사용자 제어 변수가 셸 스크립트 컨텍스트에서 직접 사용되면서 발생하는 비안전한 사용에서 기인합니다. 이로 인해 코드 주입 취약점이 발생하며, 셸 메타문자나 명령어를 포함하는 악의적으로 조작된 풀 리퀘스트 리뷰를 제출한 공격자가 GitHub Actions 러너에서 임의의 셸 코드를 실행할 수 있습니다. 이는 워크플로우의 권한으로 임의 명령을 실행할 수 있게 하여 CI 인프라, 비밀 정보(secrets), 빌드 출력물을 침해할 가능성이 있습니다. WilderForge/WilderForge, WilderForge/ExampleMod, WilderForge/WilderWorkspace, WilderForge/WildermythGameProvider, WilderForge/AutoSplitter, WilderForge/SpASM, WilderForge/thrixlvault, WilderForge/MassHash, WilderForge/DLC_Disabler 등의 리포지토리를 유지하거나 기여하는 개발자, 그리고 위의 리포지토리 중 하나를 포크하여 영향을 받는 GitHub Actions 워크플로우를 재사용하는 사용자는 영향을 받습니다. 위의 소프트웨어를 최종 사용자로서 사용하거나 사전 빌드된 릴리스나 아티팩트만 설치하는 사용자는 영향을 받지 않습니다. 이 취약점은 해당 취약점을 악용하여 생성된 출력물이 아닌 한, 소프트웨어의 런타임 동작이나 컴파일된 출력물에는 영향을 미치지 않습니다. 현재 대안 조치로는 영향을 받는 리포지토리에서 GitHub Actions를 비활성화하거나, 영향을 받는 워크플로우를 제거하는 것이 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.