一、 漏洞 CVE-2024-42482 基础信息
漏洞标题
"fish-shop/syntax-check 不当的分隔符中立化"
来源:AIGC 神龙大模型
漏洞描述信息
"fish-shop/syntax-check" 是一个 GitHub 动作,用于检查 fish shell 文件的语法。在 `pattern` 输入中未能正确消除分隔符(具体为命令分隔符 `;` 和命令替换字符 `(` 和 `)`)意味着通过修改用于工作流程的输入值,有可能实现任意命令注入。这可能导致敏感信息的暴露或从工作流程运行器中窃取,例如通过将环境变量发送给外部实体。建议用户升级到修补版 `v1.6.12` 或最新发布版 `v2.0.0`,然而,通过仔细控制工作流程和此动作使用的 `pattern` 输入值,补救措施可能是可能的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
fish-shop/syntax-check Improper Neutralization of Delimiters
来源:美国国家漏洞数据库 NVD
漏洞描述信息
fish-shop/syntax-check is a GitHub action for syntax checking fish shell files. Improper neutralization of delimiters in the `pattern` input (specifically the command separator `;` and command substitution characters `(` and `)`) mean that arbitrary command injection is possible by modification of the input value used in a workflow. This has the potential for exposure or exfiltration of sensitive information from the workflow runner, such as might be achieved by sending environment variables to an external entity. It is recommended that users update to the patched version `v1.6.12` or the latest release version `v2.0.0`, however remediation may be possible through careful control of workflows and the `pattern` input value used by this action.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
分隔符转义处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
syntax-check 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
syntax-check是fish-shop开源的一个语法检查工具。 syntax-check存在安全漏洞,该漏洞源于`pattern` 输入中的分隔符中和不当。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-42482 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-42482 的情报信息