Kritische Sicherheitslücke in Emissary: CVE-2026-35580 ermöglicht Shellinjection

Zusammenfassung

Die P2P-Workflow-Engine Emissary wies bis Version 8.39.0 eine kritische Sicherheitslücke auf, die Angreifern mit Schreibrechten auf das Repository ermöglichte, beliebige Shellbefehle auszuführen. Betroffen waren GitHub Actions Workflows, in denen benutzerkontrollierte Eingaben direkt in Shellbefehle eingebunden wurden. Dies führte zu einer Kompromittierung der gesamten Supply Chain. Die Lücke wurde in Version 8.39.0 geschlossen.

Nationalsecurityagency - Emissary - CRITICAL - CVE-2026-35580. Emissary is a P2P based data-driven workflow engine. Prior to 8.39.0, GitHub Actions workflow files contained shell injection points where user-controlled workflow_dispatch inputs were interpolated directly into shell commands via ${{ }} expression syntax. An attacker with repository write access could inject arbitrary shell commands, leading to repository poisoning and supply chain compromise affecting all downstream users. This vulnerability is fixed in 8.39.0.