CVE-2026-44723 in vowpal_wabbit
요약
\~에 의해 VulDB • 2026. 05. 26.
Vowpal Wabbit은 머신러닝 시스템입니다. 워크플로우 .github/workflows/python_checks.yml는 ${{ github.event.pull_request.title }}를 4개의 작업(job)에 걸쳐 4단계에 걸쳐 이중 따옴표로 둘러싸인 bash 문자열 내에 직접 삽입하며, 각 단계에서 이를 Python 테스트 스크립트 run_tests_model_gen_and_load.py에 CLI 인수로 전달합니다. 셸은 Python을 호출하기 전에 확장된 문자열을 해석하므로, 공격자가 따옴표를 탈출하여 러너에서 임의의 명령을 실행할 수 있습니다. pull_request 트리거는 추가적인 접근 제어 없이 모든 브랜치를 대상으로 하는 PR(PR 대상 브랜치: ['*'])에서 발생합니다. 이 취약점은 998e390e80a7e8192d7849b7784bc113dbd190ad 커밋을 통해 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.