CVE-2026-25761

Super-linter is a combination of multiple linters to run as a GitHub Action or standalone. From 6.0.0 to 8.3.0, the Super-linter GitHub Action is vulnerable to command injection via crafted filenames. When this action is used in downstream GitHub Actions workflows, an attacker can submit a pull request that introduces a file whose name contains shell command substitution syntax, such as $(...). In affected Super-linter versions, runtime scripts may execute the embedded command during file discovery processing, enabling arbitrary command execution in the workflow runner context. This can be used to disclose the job’s GITHUB_TOKEN depending on how the workflow configures permissions. This vulnerability is fixed in 8.3.1.

CVSS v3 8.8 HIGH

8.8^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/super-linter/super-linter/releases/tag/v8.3.1	Product Release Notes
https://github.com/super-linter/super-linter/security/advisories/GHSA-r79c-pqj3-577x	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:super-linter_project:super-linter:*:*:*:*:*:*:*:*

History

28 Feb 2026, 00:21

Type	Values Removed	Values Added
First Time		Super-linter Project Super-linter Project super-linter
CPE		cpe:2.3:a:super-linter_project:super-linter::::::::
References	~~() https://github.com/super-linter/super-linter/releases/tag/v8.3.1 -~~	() https://github.com/super-linter/super-linter/releases/tag/v8.3.1 - Product, Release Notes
References	~~() https://github.com/super-linter/super-linter/security/advisories/GHSA-r79c-pqj3-577x -~~	() https://github.com/super-linter/super-linter/security/advisories/GHSA-r79c-pqj3-577x - Vendor Advisory
Summary		(es) Super-linter es una combinación de múltiples linters para ejecutar como una Acción de GitHub o de forma independiente. Desde la 6.0.0 hasta la 8.3.0, la Acción de GitHub Super-linter es vulnerable a inyección de comandos a través de nombres de archivo manipulados. Cuando esta acción se utiliza en flujos de trabajo de GitHub Actions posteriores, un atacante puede enviar una solicitud de extracción que introduce un archivo cuyo nombre contiene sintaxis de sustitución de comandos de shell, como $(...). En las versiones afectadas de Super-linter, los scripts en tiempo de ejecución pueden ejecutar el comando incrustado durante el procesamiento de descubrimiento de archivos, lo que permite la ejecución arbitraria de comandos en el contexto del ejecutor del flujo de trabajo. Esto puede usarse para divulgar el GITHUB_TOKEN del trabajo dependiendo de cómo el flujo de trabajo configure los permisos. Esta vulnerabilidad se corrige en la 8.3.1.

09 Feb 2026, 21:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-09 21:15

Updated : 2026-02-28 00:21

NVD link : CVE-2026-25761

Mitre link : CVE-2026-25761

CVE.ORG link : CVE-2026-25761

JSON object : View

Products Affected

super-linter_project

super-linter

CWE

CWE-77

Improper Neutralization of Special Elements used in a Command ('Command Injection')

8.8 /10