One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8342685 |
| Date de publication | 2023-06-06 17:15:15 (vue: 2023-06-06 19:06:52) |
| Titre | CVE-2023-34111 |
| Texte | Le workflow `release PR Merged` dans le repo github Taosdata / Grafanaplugin est soumis à une vulnérabilité d'injection de commande qui permet une exécution de code arbitraire dans le contexte de l'action GitHub en raison de l'utilisation insécurité de` $ {{github.event.pull_request}} `Dans une commande bash dans le flux de travail GitHub.Les attaquants peuvent injecter des commandes malveillantes qui seront exécutées par le workflow.Cela se produit parce que `$ {{github.event.pull_request.title}}` est directement transmis à la commande bash sur comme 25 du workflow.Cela peut permettre à un attaquant d'accéder à des secrets auxquels l'action GitHub a accès ou à utiliser autrement les ressources de calcul.
The `Release PR Merged` workflow in the github repo taosdata/grafanaplugin is subject to a command injection vulnerability which allows for arbitrary code execution within the github action context due to the insecure usage of `${{ github.event.pull_request.title }}` in a bash command within the GitHub workflow. Attackers can inject malicious commands which will be executed by the workflow. This happens because `${{ github.event.pull_request.title }}` is directly passed to bash command on like 25 of the workflow. This may allow an attacker to gain access to secrets which the github action has access to or to otherwise make use of the compute resources. |
| Envoyé | Oui |
| Condensat | 2023 34111 `release access action allow allows arbitrary attacker attackers bash because can code command commands compute context cve directly due event executed execution gain github happens has inject injection insecure like make malicious may merged` otherwise passed pull repo request resources secrets subject taosdata/grafanaplugin title usage use vulnerability which will within workflow |
| Tags | Vulnerability |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.