CVE-2026-48547

Nome do Software Vulnerável e Versões Afetadas KanaDojo (versões afetadas não especificadas)

Descrição Um problema de injeção de comando existe onde um invasor com acesso a pull requests pode executar comandos de shell arbitrários. Isso ocorre quando metacaracteres de shell são inseridos nos campos version ou changes do arquivo 'patchNotesData.json'. Esses campos são interpolados sem sanitização em uma chamada da função child process.execSync() dentro do fluxo de trabalho 'release.yml'. Um pull request malicioso, após ser mesclado, pode acionar o executor do GitHub Actions, concedendo ao invasor permissões de escrita de conteúdo e acesso ao GITHUB TOKEN.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.