評価中に、GitHub の「カスタム ワークフロー応答コード」にリモート コード実行の脆弱性を発見しました。
この脆弱性により、攻撃者は特殊なシステム上で許可なく任意のコードを実行することができます。
これは、チャットボット ワークフローを自動化し、ディレクトリ名やファイル名などのグローバル変数に対する応答を出力として取得する場合に便利です。
ただし、デフォルト値「Hello World」のみを使用したため、テストは正常に失敗しました。
AI チャットボット ワークフローでのリモート コード実行を公開 from infosecwriteups.com
security summary評価中に、GitHub の「カスタム ワークフロー応答コード」にリモート コード実行の脆弱性を発見しました。
この脆弱性により、攻撃者は特殊なシステム上で許可なく任意のコードを実行することができます。
これは、チャットボット ワークフローを自動化し、ディレクトリ名やファイル名などのグローバル変数に対する応答を出力として取得する場合に便利です。
ただし、デフォルト値「Hello World」のみを使用したため、テストは正常に失敗しました。
コメント