CVE-2024-52587

StepSecurity's Harden-Runner provides network egress filtering and runtime security for GitHub-hosted and self-hosted runners. Versions of step-security/harden-runner prior to v2.10.2 contain multiple command injection weaknesses via environment variables that could potentially be exploited under specific conditions. However, due to the current execution order of pre-steps in GitHub Actions and the placement of harden-runner as the first step in a job, the likelihood of exploitation is low as the Harden-Runner action reads the environment variable during the pre-step stage. There are no known exploits at this time. Version 2.10.2 contains a patch.
Configurations

No configuration.

History

19 Nov 2024, 15:35

Type Values Removed Values Added
Summary
  • (es) Harden-Runner de StepSecurity proporciona filtrado de salida de red y seguridad en tiempo de ejecución para ejecutores alojados en GitHub y alojados por cuenta propia. Las versiones de step-security/harden-runner anteriores a la v2.10.2 contienen múltiples debilidades de inyección de comandos a través de variables de entorno que podrían explotarse potencialmente en condiciones específicas. Sin embargo, debido al orden de ejecución actual de los pasos previos en las acciones de GitHub y la ubicación de harden-runner como el primer paso en un trabajo, la probabilidad de explotación es baja ya que la acción Harden-Runner lee la variable de entorno durante la etapa previa al paso. No se conocen explotaciones en este momento. La versión 2.10.2 contiene un parche.
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 8.8

18 Nov 2024, 22:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-18 22:15

Updated : 2024-11-19 21:57


NVD link : CVE-2024-52587

Mitre link : CVE-2024-52587

CVE.ORG link : CVE-2024-52587


JSON object : View

Products Affected

No product.

CWE
CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')