Vulnerabilidad en fish-shop/syntax-check (CVE-2024-42482)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/08/2024
Última modificación:
17/09/2024
Descripción
fish-shop/syntax-check es una acción de GitHub para verificar la sintaxis de fish shell files. La neutralización inadecuada de los delimitadores en la entrada `patrón` (específicamente el separador de comando `;` y los caracteres de sustitución de comando `(` y `)`) significa que la inyección de comando arbitraria es posible mediante la modificación del valor de entrada utilizado en un flujo de trabajo. Esto tiene el potencial de exponer o exfiltrar información confidencial del ejecutor del flujo de trabajo, como podría lograrse enviando variables de entorno a una entidad externa. Se recomienda que los usuarios actualicen a la versión parcheada `v1.6.12` o a la última versión `v2.0.0`; sin embargo, es posible realizar una corrección mediante un control cuidadoso de los flujos de trabajo y el valor de entrada del `patrón` utilizado por esta acción.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:fish-shop:syntax-check:*:*:*:*:*:*:*:* | 1.6.12 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página