CVE-2026-44246
nnU-Net: Agentic workflow injection in `.github/workflows/issue-triage.yml` of `MIC-DKFZ/nnUNet`
Em resumo
O fluxo de trabalho automático de triagem de problemas do nnU-Net pode ser manipulado por atacantes através de issues customizadas no GitHub. Um atacante pode injetar instruções maliciosas no título ou descrição de uma issue, fazendo um agente de IA executar ações não intencionais como alterar rótulos ou postar comentários.
Detalhe técnico
Injeção de Fluxo Agentico (CWE-1427) em .github/workflows/issue-triage.yml permite que conteúdo não confiável da issue (título, corpo) seja incorporado diretamente em prompts enviados ao agente Claude sem validação. O workflow concede permissões de execução de comandos gh ao agente com acesso de escrita, viabilizando operações autenticadas de mudança de estado (relabel, comentário) disparadas por qualquer issue.opened de usuários externos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
nnU-Net is a semantic segmentation framework that automatically adapts its pipeline to a dataset. Prior to 2.4.1, the nnU-Net Issue Triage workflow in .github/workflows/issue-triage.yml is vulnerable to Agentic Workflow Injection. The workflow sets allowed_non_write_users: ${{ github.event.issue.user.login }}, which means any logged-in GitHub user who opens an issue can reach this agentic workflow with attacker-controlled content. Untrusted issue title and body content are embedded directly into the prompt of anthropics/claude-code-action, and the workflow then runs a command-capable Claude agent with permission to comment on and relabel the current issue via gh. Because this workflow is triggered automatically on issues.opened, an external attacker can submit a crafted issue that steers the agent beyond its intended issue-triage purpose and influences authenticated issue actions. This vulnerability is fixed in 2.4.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N