CVE-2026-34243 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:wenxian 工具在 GitHub Actions 中执行 shell 命令时,直接使用了**未经验证的用户输入**。 💥 **后果**:导致**操作系统命令注入**,攻击者可实现**任意代码执行**,彻底接管构建环境。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-77**:命令注入。 🛠 **缺陷点**:GitHub Actions 工作流配置不当,未对传入的参数进行**过滤或转义**,直接拼接进 shell 命令中。
Q3影响谁?(版本/组件)
📦 **产品**:wenxian(文献引用格式生成工具)。 👤 **开发者**:njzjz (Jinzhe Zeng)。 ⚠️ **受影响版本**:**0.3.1 及之前版本**。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:获得 GitHub Actions Runner 的**执行权限**。 💾 **数据**:可读取仓库敏感信息(如密钥、源码),甚至横向渗透至 CI/CD 基础设施。
Q5利用门槛高吗?(认证/配置)
📉 **门槛低**。 🔑 **认证**:无需认证(PR:N)。 🖱️ **交互**:无需用户交互(UI:N)。 🌐 **攻击向量**:网络(AV:N)。 🎯 **复杂度**:低(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **无现成 Exp**。 📄 **PoC**:漏洞数据中 `pocs` 字段为空,暂无公开利用代码。 🌍 **在野利用**:未发现。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**:检查 GitHub Actions 工作流 YAML 文件。 🔍 **扫描点**:查找直接拼接用户输入(如 `${{ github.event.pull_request.title }}` 等)到 `run:` 或 `shell:` 命令中的行为。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方已修复**。 📝 **参考**:GitHub Security Advisory [GHSA-r4fj-r33x-8v88](https://github.com/njzjz/wenxian/security/advisories/GHSA-r4fj-r33x-8v88)。 ✅ **建议**:升级至修复后的最新版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法立即升级,需**手动审查**并修改 Actions 工作流。 🚫 **措施**:禁止在 shell 命令中直接使用未过滤的用户输入,改用参数化调用或严格白名单校验。
Q10急不急?(优先级建议)
🔥 **优先级:高**。 📊 **CVSS**:**9.1 (Critical)**。 💡 **见解**:虽然无公开 PoC,但 CVSS 评分极高(C:H/I:H/A:H),且 CI/CD 环境一旦失守后果严重,建议**立即升级**或加固配置。