Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en fish-shop/syntax-check (CVE-2024-42482)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/08/2024
Última modificación:
17/09/2024

Descripción

fish-shop/syntax-check es una acción de GitHub para verificar la sintaxis de fish shell files. La neutralización inadecuada de los delimitadores en la entrada `patrón` (específicamente el separador de comando `;` y los caracteres de sustitución de comando `(` y `)`) significa que la inyección de comando arbitraria es posible mediante la modificación del valor de entrada utilizado en un flujo de trabajo. Esto tiene el potencial de exponer o exfiltrar información confidencial del ejecutor del flujo de trabajo, como podría lograrse enviando variables de entorno a una entidad externa. Se recomienda que los usuarios actualicen a la versión parcheada `v1.6.12` o a la última versión `v2.0.0`; sin embargo, es posible realizar una corrección mediante un control cuidadoso de los flujos de trabajo y el valor de entrada del `patrón` utilizado por esta acción.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:fish-shop:syntax-check:*:*:*:*:*:*:*:* 1.6.12 (excluyendo)