Trivy Action
Уязвимости
2
Эксплуатируемые
1
Макс. CVSS
9.4
Макс. EPSS
0.60368
Распределение по критичности
Критический
1
Высокий
1
Средний
0
Низкий
0
Затронутые диапазоны версий
0.31.0–0.34.1< 0.35.0
Также сопоставлено как (исходные строки): trivy_action,setup-trivy,trivy
Топ уязвимостей
CVE-2026-33634Выполнение произвольного кода в Aqua Security Trivy
CVE-2026-26189Trivy Action запускает Trivy как действие GitHub для сканирования изображения контейнера Docker на наличие уязвимостей. Уязвимость инъекции команд существует в версиях 0.31.0-0-0.3.3.1 из-за неправильной обработки входных данных о действии при экспорте переменных среды. Действие пишет `export VAR= <input>` строки на `trivy_envs.txt` на основе пользовательских входов и впоследствии исходит из этого файла в `entrypoint.sh`. Поскольку входные значения записываются без соответствующего отхода от оболочки, в процессе поиска может быть оценен входные данные, содержащие метахарактеры оболочки (например, `$(...)`, обратные галочки или другой синтаксис замены командной замены), могут быть оценены в процессе поиска. Это может привести к произвольному выполнению команды в контексте GitHub Actions. Версия 0.34.0 содержит патч для этой проблемы. Уязвимость может быть использована, когда потребляющий рабочий процесс передает контролируемые злоумышленником данные в любой ввод действия, который записывается в `trivy_envs.txt`. Доступ к пользовательским вводам требуется злоумышленнику. Рабочие процессы, которые не пропускают контролируемые злоумышленником данные во «trivy-action` входы», рабочие процессы, которые переходят на исправленную версию, которая должным образом избегает значений оболочки или устраняет шаблон `source ./trivy_envs.txt` и рабочие процессы, где пользовательский ввод недоступен, не затрагиваются.