CRITICAL🇬🇧 English

CVE-2026-45131

Wykonanie kodu atakującego w uprzywilejowanym kontekście CI/CD w CloudPirates Helm Charts

CVSS 10.0v3.1pub. 2026-06-01

Podatność w projekcie CloudPirates Open Source Helm Charts pozwala atakującemu na uruchomienie własnego kodu w uprzywilejowanym środowisku GitHub Actions poprzez przesłanie fork pull request. Skutkuje to ujawnieniem poufnych sekretów repozytorium, w tym danych uwierzytelniających do Docker Hub, bez konieczności zatwierdzenia przez opiekuna projektu.

Pokaż oryginał (EN)

CloudPirates Open Source Helm Charts is a collection of Helm charts. Prior to commit fcf9302, a GitHub Actions workflow (pull-request.yaml) executes attacker-controlled code from fork pull requests in a privileged context, exposing repository secrets including Docker Hub credentials and tokens without requiring maintainer approval. This issue has been patched via commit fcf9302.

🤖 Analiza AI
Jak działa

Workflow GitHub Actions o nazwie pull-request.yaml był skonfigurowany w sposób umożliwiający wykonanie kodu pochodzącego z zewnętrznych fork pull requestów w uprzywilejowanym kontekście środowiska CI/CD. Atakujący mógł przesłać spreparowany pull request z repozytorium fork, którego kod był następnie uruchamiany automatycznie z dostępem do sekretów repozytorium. Mechanizm ten nie wymagał żadnej interakcji ani zatwierdzenia ze strony opiekuna projektu, co czyni atak w pełni autonomicznym. Podatność klasyfikowana jest jako CWE-94 (improper control of code generation), czyli brak odpowiedniej kontroli nad wykonywanym kodem zewnętrznym.

Skutki

Atakujący uzyskuje dostęp do poufnych sekretów repozytorium, w tym tokenów i danych uwierzytelniających do Docker Hub, co może prowadzić do przejęcia kont w rejestrach kontenerów oraz potencjalnego zatrucia obrazów Docker dostępnych publicznie.

Mitygacja

Należy zaktualizować repozytorium do wersji zawierającej commit fcf930211604652aec15085895b6457bc8b73b54 lub nowszego. Poprawka została wprowadzona bezpośrednio w tym commicie. Dodatkowo zaleca się rotację wszystkich sekretów i tokenów (w tym danych uwierzytelniających Docker Hub) przechowywanych w repozytorium jako środek ostrożności na wypadek wcześniejszego wykorzystania podatności.

Kogo dotyczy

CloudPirates Open Source Helm Charts we wszystkich wersjach poprzedzających commit fcf9302 w repozytorium GitHub CloudPirates-io/helm-charts

Uwagi

Pomimo oceny CVSS 10.0 (CRITICAL) podatność nie figuruje w katalogu CISA KEV. Podatność dotyczy pipeline'u CI/CD w projekcie open source, co oznacza szczególne ryzyko dla łańcucha dostaw oprogramowania (supply chain attack) — skompromitowane obrazy kontenerów mogłyby być dystrybuowane do użytkowników korzystających z tych Helm Charts.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
CI/CDContainer
CWE
Referencje