CVE-2026-12567 — BBOT: Symlink-Following Arbitrary Write via github_workflows Module

描述

The `github_workflows` module constructs local directory paths from user-controlled repository names without validating for symlinks. A local attacker sharing the scan directory can plant a symlink at the predictable output path, causing workflow data to be written to an attacker-chosen location.

如何修補 CVE-2026-12567

要修補 CVE-2026-12567,請將受影響套件升級到下列已修補版本。

PyPI/bbot—升級至 2.8.5 或更新版本

CVE-2026-12567 正在被利用嗎?

目前沒有被利用訊號。CVE-2026-12567 既不在 CISA KEV 也沒有最新的 EPSS 分數。

受影響套件(1)

>= 2.0.0, < 2.8.5

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	LOW2.2	CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N

參考連結(4)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2026-12567
PATCHgithub.com/blacklanternsecurity/bbot
WEBgithub.com/blacklanternsecurity/bbot/commit/16d9c42b6
WEBgithub.com/blacklanternsecurity/bbot/security/advisories/GHSA-rvp7-w75q-9fv2