CVE-2026-35580

Name of the Vulnerable Software and Affected Versions Emissary versões anteriores a 8.39.0

Description Emissary é um mecanismo de fluxo de trabalho baseado em dados e P2P. Antes da versão 8.39.0, os arquivos de fluxo de trabalho do GitHub Actions continham pontos de injeção de shell onde as entradas workflow dispatch controladas pelo usuário eram interpoladas diretamente em comandos shell através da sintaxe de expressão ${{ }}. Um invasor com acesso de gravação ao repositório poderia injetar comandos shell arbitrários, potencialmente levando ao envenenamento do repositório e ao comprometimento da cadeia de suprimentos, afetando os usuários downstream.

Recommendations Atualize para a versão 8.39.0 ou superior.