Vulnerabilidad en Super-linter (CVE-2026-25761)

Super-linter es una combinación de múltiples linters para ejecutar como una Acción de GitHub o de forma independiente. Desde la 6.0.0 hasta la 8.3.0, la Acción de GitHub Super-linter es vulnerable a inyección de comandos a través de nombres de archivo manipulados. Cuando esta acción se utiliza en flujos de trabajo de GitHub Actions posteriores, un atacante puede enviar una solicitud de extracción que introduce un archivo cuyo nombre contiene sintaxis de sustitución de comandos de shell, como $(...). En las versiones afectadas de Super-linter, los scripts en tiempo de ejecución pueden ejecutar el comando incrustado durante el procesamiento de descubrimiento de archivos, lo que permite la ejecución arbitraria de comandos en el contexto del ejecutor del flujo de trabajo. Esto puede usarse para divulgar el GITHUB_TOKEN del trabajo dependiendo de cómo el flujo de trabajo configure los permisos. Esta vulnerabilidad se corrige en la 8.3.1.