JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-017417 Vowpal Wabbitは機械学習システムです。ワークフロー.github/workflows/python_checks.ymlは${{github.event.pull_request.title}}を4つのジョブにまたがる4つの別々のステップ内のダブルクォートされたbash文字列の中に直接埋め込み、それぞれPythonのテストスクリプトrun_tests_model_gen_and_load.pyへのCLI引数として渡しています。シェルはPythonを呼び出す前に展開された文字列を解釈するため、攻撃者はクォートを抜け出してランナー上で任意のコマンドを実行できます。pull_requestトリガーはどのブランチをターゲットにしたPR（branches: ['*']）でも発火し、追加のアクセス制御はありません。この脆弱性はコミット998e390e80a7e8192d7849b7784bc113dbd190adで修正されました。 cpe:/a:vowpalwabbit:vowpal_wabbit https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-017417.html Common Vulnerabilities and Exposures (CVE) CVE-2026-44723 https://www.cve.org/CVERecord?id=CVE-2026-44723 National Vulnerability Database (NVD) CVE-2026-44723 https://nvd.nist.gov/vuln/detail/CVE-2026-44723 GitHub Shell injection via crafted PR title in python_checks.yml allows arbitrary command execution on CI runner Advisory VowpalWabbit/vowpal_wabbit GitHub https://github.com/VowpalWabbit/vowpal_wabbit/security/advisories/GHSA-cg2g-xgg7-3xxq JVNDB CWE-78 https://jvndb.jvn.jp/ja/cwe/CWE-78.html JVNDB CWE-1336 https://cwe.mitre.org/data/definitions/1336.html 関連文書 Merge commit from fork VowpalWabbit/vowpal_wabbit@998e390 GitHub https://github.com/VowpalWabbit/vowpal_wabbit/commit/998e390e80a7e8192d7849b7784bc113dbd190ad 2026-06-03T15:38:29+09:00 2026-06-03T15:38:29+09:00