CVE-2026-44723 in vowpal_wabbit
Tóm tắt
Bởi VulDB • 27/05/2026
Vowpal Wabbit là một hệ thống học máy. Quy trình .github/workflows/python_checks.yml nhúng trực tiếp ${{ github.event.pull_request.title }} bên trong các chuỗi bash được bao bọc bằng dấu ngoặc kép trong bốn bước riêng biệt trên bốn công việc, mỗi bước truyền nó dưới dạng đối số CLI cho tập lệnh kiểm tra Python run_tests_model_gen_and_load.py. Shell diễn giải chuỗi đã được mở rộng trước khi gọi Python, cho phép kẻ tấn công thoát khỏi các dấu ngoặc kép và thực thi các lệnh tùy ý trên runner. Kích hoạt pull_request kích hoạt trên các PR nhắm vào bất kỳ nhánh nào (branches: ['*']), mà không có cổng truy cập bổ sung nào. Lỗ hổng này đã được sửa trong commit 998e390e80a7e8192d7849b7784bc113dbd190ad.
If you want to get best quality of vulnerability data, you may have to visit VulDB.