CVE-2024-52587

Versões do step-security/harden-runner anteriores à v2.10.2

A vulnerabilidade diz respeito a falhas de injeção de comando por meio de variáveis de ambiente no step-security/harden-runner. Essas falhas poderiam ser potencialmente exploradas sob condições específicas. No entanto, devido à ordem de execução atual das etapas preliminares no GitHub Actions e à colocação do harden-runner como a primeira etapa de um trabalho, a probabilidade de exploração é baixa. Não há exploits conhecidos no momento. As vulnerabilidades foram encontradas em várias áreas, incluindo o uso de execSync com variáveis interpoladas, como process.env.USER e $USER, que um invasor poderia modificar para injetar expressões de shell arbitrárias. Além disso, a expansão de getRunnerTempDir() pode ser injetável devido à sua dependência de variáveis de ambiente potencialmente controláveis pelo invasor, como RUNNER TEMP.

Para versões anteriores à v2.10.2, atualize para a versão 2.10.2, que contém um patch para as vulnerabilidades de injeção de comando. Como solução temporária, considere restringir a modificação de variáveis de ambiente, como USER e RUNNER TEMP, para minimizar o risco de exploração. Além disso, considere substituir o uso de execSync por execFileSync ou similar para contornar a avaliação do shell e reduzir o risco de injeção de comando.