Vulnerabilidad en el envío de comandos shell en los valores [the "tag" input] y [the "GITHUB_REF" environment variable] en git-tag-annotation-action (CVE-2020-15272)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/10/2020
Última modificación:
28/10/2020
Descripción
En la git-tag-annotation-action (GitHub Action de código abierto) versiones anteriores a 1.0.1, un atacante puede ejecutar comandos de shell arbitrarios (*) si puede controlar el valor de [the "tag" input] o lograr alterar la valor de [the "GITHUB_REF" environment variable]. El problema ha sido parcheado en la versión 1.0.1. Si no usa la entrada "tag", lo más probable es que esté seguro. La variable de entorno "GITHUB_REF" está protegida por el entorno de GitHub Actions, por lo que los ataques desde allí deberían ser imposibles. Si debe utilizar la entrada "tag" y no puede actualizar a "versiones posteriores a 1.0.0", asegúrese de que el valor no esté controlado por otra Acción
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:git-tag-annotation-action_project:git-tag-annotation-action:*:*:*:*:*:*:*:* | 1.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página