CVE-2025-49013

Nome do Software Vulnerável e Versões Afetadas WilderForge (versões afetadas não especificadas)

Descrição Foi identificado um problema crítico na organização WilderForge, originado pelo uso inseguro de variáveis controladas pelo usuário, como ${{ github.event.review.body }}, diretamente dentro de contextos de script shell em workflows do GitHub Actions. Isso introduz um problema de injeção de código, permitindo que um ator malicioso execute código shell arbitrário no runner do GitHub Actions ao enviar um review de pull request manipulado. Isso pode levar à execução arbitrária de comandos com as permissões do workflow, potencialmente comprometendo a infraestrutura de CI, segredos e saídas de build. O problema afeta desenvolvedores que mantêm ou contribuem para repositórios específicos da WilderForge, bem como usuários que fazem fork desses repositórios e reutilizam workflows do GitHub Actions afetados. Usuários finais do software e usuários que apenas instalam releases pré-compilados ou artefatos não são afetados.

Recomendações Como solução temporária, considere desativar o GitHub Actions nos repositórios afetados ou remover os workflows afetados. Restrinja o acesso aos workflows vulneráveis do GitHub Actions para minimizar o risco de exploração. Evite usar a variável github.event.review.body no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.