Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el envío de comandos shell en los valores [the "tag" input] y [the "GITHUB_REF" environment variable] en git-tag-annotation-action (CVE-2020-15272)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/10/2020
Última modificación:
28/10/2020

Descripción

En la git-tag-annotation-action (GitHub Action de código abierto) versiones anteriores a 1.0.1, un atacante puede ejecutar comandos de shell arbitrarios (*) si puede controlar el valor de [the "tag" input] o lograr alterar la valor de [the "GITHUB_REF" environment variable]. El problema ha sido parcheado en la versión 1.0.1. Si no usa la entrada "tag", lo más probable es que esté seguro. La variable de entorno "GITHUB_REF" está protegida por el entorno de GitHub Actions, por lo que los ataques desde allí deberían ser imposibles. Si debe utilizar la entrada "tag" y no puede actualizar a "versiones posteriores a 1.0.0", asegúrese de que el valor no esté controlado por otra Acción

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:git-tag-annotation-action_project:git-tag-annotation-action:*:*:*:*:*:*:*:* 1.0.1 (excluyendo)