脆弱性情報
高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
MaaAssistantArknights: PR-title expression injection in release-preparation.yml
脆弱性説明
MaaAssistantArknights is a one-click tool for daily Arknights tasks. In the current dev-v2 workflow, .github/workflows/release-preparation.yml inlined attacker-controlled github.event.pull_request.title into a run: shell command during the pull_request opened, reopened, and ready_for_review events, so a non-draft fork PR whose title starts with Release v could execute shell commands on the ubuntu-latest runner during the generate-changelog job. This vulnerability is fixed by commit cafc3946059e6337d2089d4fec8b6885ba17c332.
CVSS情報
N/A
脆弱性タイプ
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
脆弱性タイトル
MAA 命令注入漏洞
脆弱性説明
MAA MAA是中国MAA公司的一款明日方舟游戏小助手。 MAA存在安全漏洞,该漏洞源于dev-v2工作流中的release-preparation.yml文件将攻击者控制的github.event.pull_request.title内联到run: shell命令中,导致标题以Release v开头的非草稿fork PR可在generate-changelog作业期间在ubuntu-latest运行器上执行shell命令。
CVSS情報
N/A
脆弱性タイプ
N/A