nvd,anchore_overrides
Aquasec
Уязвимости
2
Эксплуатируемые
1
Критический
1
Высокий
1
Топ продуктов
Топ уязвимостей
CVE-2026-33634Выполнение произвольного кода в Aqua Security Trivy
CVE-2026-26189Trivy Action запускает Trivy как действие GitHub для сканирования изображения контейнера Docker на наличие уязвимостей. Уязвимость инъекции команд существует в версиях 0.31.0-0-0.3.3.1 из-за неправильной обработки входных данных о действии при экспорте переменных среды. Действие пишет `export VAR= <input>` строки на `trivy_envs.txt` на основе пользовательских входов и впоследствии исходит из этого файла в `entrypoint.sh`. Поскольку входные значения записываются без соответствующего отхода от оболочки, в процессе поиска может быть оценен входные данные, содержащие метахарактеры оболочки (например, `$(...)`, обратные галочки или другой синтаксис замены командной замены), могут быть оценены в процессе поиска. Это может привести к произвольному выполнению команды в контексте GitHub Actions. Версия 0.34.0 содержит патч для этой проблемы. Уязвимость может быть использована, когда потребляющий рабочий процесс передает контролируемые злоумышленником данные в любой ввод действия, который записывается в `trivy_envs.txt`. Доступ к пользовательским вводам требуется злоумышленнику. Рабочие процессы, которые не пропускают контролируемые злоумышленником данные во «trivy-action` входы», рабочие процессы, которые переходят на исправленную версию, которая должным образом избегает значений оболочки или устраняет шаблон `source ./trivy_envs.txt` и рабочие процессы, где пользовательский ввод недоступен, не затрагиваются.