CVE-2026-44723 in vowpal_wabbitinformação

Sumário

de VulDB • 26/05/2026

O Vowpal Wabbit é um sistema de aprendizado de máquina. O fluxo de trabalho .github/workflows/python_checks.yml incorpora ${{ github.event.pull_request.title }} diretamente dentro de strings bash entre aspas duplas em quatro etapas distintas em quatro jobs, passando-o como um argumento de CLI para o script de teste Python run_tests_model_gen_and_load.py. O shell interpreta a string expandida antes de invocar o Python, permitindo que um atacante escape das aspas e execute comandos arbitrários no runner. O gatilho pull_request é acionado em PRs direcionados a qualquer branch (branches: ['*']), sem nenhuma barreira de acesso adicional. Esta vulnerabilidade é corrigida pelo commit 998e390e80a7e8192d7849b7784bc113dbd190ad.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

07/05/2026

Divulgação

26/05/2026

Moderação

aceite

Entrada

VDB-365697

CPE

pronto

EPSS

0.00045

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44723
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44723
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44723/

VoltarVisão GeralPróximo

Do you know our Splunk app?

Download it now for free!