Vulnerabilidad en WilderForge (CVE-2025-49013)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
09/06/2025
Última modificación:
12/06/2025
Descripción
WilderForge es una API de modificación de núcleos de Wildermyth. Se ha identificado una vulnerabilidad crítica en varios proyectos de la organización WilderForge. El problema surge del uso inseguro de `${{ github.event.review.body }}` y otras variables controladas por el usuario directamente dentro de contextos de scripts de shell en flujos de trabajo de GitHub Actions. Esto introduce una vulnerabilidad de inyección de código: un actor malicioso que envíe una revisión de solicitud de extracción manipulada que contenga metacaracteres o comandos de shell podría ejecutar código de shell arbitrario en el ejecutor de GitHub Actions. Esto puede provocar la ejecución de comandos arbitrarios con los permisos del flujo de trabajo, lo que podría comprometer la infraestructura de CI, los secretos y los resultados de la compilación. Los desarrolladores que mantienen o contribuyen a los repositorios WilderForge/WilderForge, WilderForge/ExampleMod, WilderForge/WilderWorkspace, WilderForge/WildermythGameProvider, WilderForge/AutoSplitter, WilderForge/SpASM, WilderForge/thrixlvault, WilderForge/MassHash o WilderForge/DLC_Disabler, así como los usuarios que bifurcan cualquiera de los repositorios mencionados y reutilizan los flujos de trabajo de GitHub Actions afectados, se ven afectados. Los usuarios finales de cualquiera de los software mencionados y los usuarios que solo instalan versiones o artefactos precompilados no se ven afectados. Esta vulnerabilidad no afecta el comportamiento en tiempo de ejecución del software ni las salidas compiladas, a menos que estas se hayan generado durante la explotación de esta vulnerabilidad. Una solución alternativa actual es deshabilitar GitHub Actions en los repositorios afectados o eliminar los flujos de trabajo afectados.
Impacto
Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://codeql.github.com/codeql-query-help/javascript/js-actions-command-injection
- https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions#preventing-script-injection
- https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions#understanding-the-risk-of-script-injection
- https://github.com/WilderForge/WilderForge/security/advisories/GHSA-m6r3-c73x-8fw5
- https://securitylab.github.com/research/github-actions-untrusted-input