Vulnerabilidad en las funciones "addPath" y "exportVariable" en Actions Runner en stdout en el módulo npm "@actions/core" (CVE-2020-15228)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
01/10/2020
Última modificación:
18/11/2021
Descripción
En el módulo npm "@actions/core" versiones anteriores a 1.2.6, las funciones "addPath" y "exportVariable" se comunican con Actions Runner a través de stdout al generar una cadena en un formato específico. Los flujos de trabajo que registran datos no confiables en stdout pueden invocar estos comandos, resultando que la ruta o las variables de entorno sean modificadas sin la intención del flujo de trabajo o el autor de la acción. El corredor lanzará una actualización que deshabilita los comandos de flujo de trabajo "set-env" y "add-path" en un futuro cercano. Por ahora, los usuarios deben actualizar a "@actions/core v1.2.6" o posterior, y reemplazar cualquier instancia de los comandos "set-env" o "add-path" en sus flujos de trabajo con la nueva sintaxis de archivo de entorno. Los flujos de trabajo y las acciones que utilizan los comandos antiguos o las versiones antiguas del kit de herramientas comenzarán a advertir y luego aparecerán errores durante la ejecución del flujo de trabajo
Impacto
Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:toolkit_project:toolkit:*:*:*:*:*:node.js:*:* | 1.2.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página