CVE-2026-29783

Published: Mar 06, 2026 Last Modified: Mar 09, 2026

ExploitDB:

Other exploit source:

Google Dorks:

HIGH 7,5

Source: [email protected]

Attack Vector: network

Attack Complexity: low

Privileges Required: none

User Interaction: active

Confidentiality: N/A

Integrity: N/A

Availability: N/A

Description

AI Translation Available

The shell tool within GitHub Copilot CLI versions prior to and including 0.0.422 can allow arbitrary code execution through crafted bash parameter expansion patterns. An attacker who can influence the commands executed by the agent (e.g., via prompt injection through repository files, MCP server responses, or user instructions) can exploit bash parameter transformation operators to execute hidden commands, bypassing the safety assessment that classifies commands as 'read-only.' This has been patched in version 0.0.423.

The vulnerability stems from how the CLI's shell safety assessment evaluates commands before execution. The safety layer parses and classifies shell commands as either read-only (safe) or write-capable (requires user approval). However, several bash parameter expansion features can embed executable code within arguments to otherwise read-only commands, causing them to appear safe while actually performing arbitrary operations.

The specific dangerous patterns are ${var@P}, ${var=value} / ${var:=value}, ${!var}, and nested $(cmd) or <(cmd) inside ${...} expansions. An attacker who can influence command text sent to the shell tool - for example, through prompt injection via malicious repository content (README files, code comments, issue bodies), compromised or malicious MCP server responses, or crafted user instructions containing obfuscated commands - could achieve arbitrary code execution on the user's workstation. This is possible even in permission modes that require user approval for write operations, since the commands can appear to use only read-only utilities to ultimately trigger write operations. Successful exploitation could lead to data exfiltration, file modification, or further system compromise.

AI Generated Translation

Lo strumento shell all’interno di GitHub Copilot CLI nelle versioni precedenti e fino alla 0.0.422 può consentire l’esecuzione arbitraria di codice attraverso modelli di espansione dei parametri bash appositamente manipolati. Un attaccante che possa influenzare i comandi eseguiti dall’agente (ad esempio, tramite prompt injection attraverso file di repository, risposte del server MCP o istruzioni utente) può sfruttare gli operatori di trasformazione dei parametri bash per eseguire comandi nascosti, bypassando la valutazione di sicurezza che classifica i comandi come "solamente di lettura". Questa vulnerabilità è stata corretta nella versione 0.0.423.

La vulnerabilità deriva dal modo in cui la valutazione di sicurezza dello shell del CLI analizza i comandi prima dell’esecuzione. Il livello di sicurezza analizza e classifica i comandi shell come "solamente di lettura" (sicuri) o "scrivibili" (richiedono approvazione dell’utente). Tuttavia, diverse funzionalità di espansione dei parametri bash possono incorporare codice eseguibile all’interno degli argomenti di comandi altrimenti di sola lettura, facendoli apparire sicuri mentre in realtà eseguono operazioni arbitrarie.

I modelli pericolosi specifici sono ${var@P}, ${var=value} / ${var:=value}, ${!var}, e le espansioni annidate $(cmd) o <(cmd) all’interno di ${...}. Un attaccante che possa influenzare il testo dei comandi inviati allo strumento shell — ad esempio, tramite prompt injection tramite contenuti malintenzionati del repository (README, commenti nel codice, issue), risposte compromesse o malevoli del server MCP, o istruzioni utente manipolate contenenti comandi offuscati — potrebbe ottenere l’esecuzione arbitraria di codice sulla workstation dell’utente. Ciò è possibile anche in modalità di autorizzazione che richiedono l’approvazione dell’utente per operazioni di scrittura, poiché i comandi possono sembrare utilizzare solo utilità di sola lettura per innescare operazioni di scrittura. Lo sfruttamento riuscito potrebbe portare a furto di dati, modifica di file o compromissione ulteriore del sistema.

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0008

Percentile

0,2th

Updated

EPSS Score Trend (Last 9 Days)

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

Stable

Abstraction: Base Structure: Simple

Common Consequences

Security Scopes Affected:

Confidentiality Integrity Availability Non-Repudiation

Potential Impacts:

Execute Unauthorized Code Or Commands Dos: Crash, Exit, Or Restart Read Files Or Directories Modify Files Or Directories Read Application Data Modify Application Data Hide Activities