Podatność w projekcie CloudPirates Open Source Helm Charts pozwala atakującemu na uruchomienie własnego kodu w uprzywilejowanym środowisku GitHub Actions poprzez przesłanie fork pull request. Skutkuje to ujawnieniem poufnych sekretów repozytorium, w tym danych uwierzytelniających do Docker Hub, bez konieczności zatwierdzenia przez opiekuna projektu.
▸ Pokaż oryginał (EN)
CloudPirates Open Source Helm Charts is a collection of Helm charts. Prior to commit fcf9302, a GitHub Actions workflow (pull-request.yaml) executes attacker-controlled code from fork pull requests in a privileged context, exposing repository secrets including Docker Hub credentials and tokens without requiring maintainer approval. This issue has been patched via commit fcf9302.
Workflow GitHub Actions o nazwie pull-request.yaml był skonfigurowany w sposób umożliwiający wykonanie kodu pochodzącego z zewnętrznych fork pull requestów w uprzywilejowanym kontekście środowiska CI/CD. Atakujący mógł przesłać spreparowany pull request z repozytorium fork, którego kod był następnie uruchamiany automatycznie z dostępem do sekretów repozytorium. Mechanizm ten nie wymagał żadnej interakcji ani zatwierdzenia ze strony opiekuna projektu, co czyni atak w pełni autonomicznym. Podatność klasyfikowana jest jako CWE-94 (improper control of code generation), czyli brak odpowiedniej kontroli nad wykonywanym kodem zewnętrznym.
Atakujący uzyskuje dostęp do poufnych sekretów repozytorium, w tym tokenów i danych uwierzytelniających do Docker Hub, co może prowadzić do przejęcia kont w rejestrach kontenerów oraz potencjalnego zatrucia obrazów Docker dostępnych publicznie.
Należy zaktualizować repozytorium do wersji zawierającej commit fcf930211604652aec15085895b6457bc8b73b54 lub nowszego. Poprawka została wprowadzona bezpośrednio w tym commicie. Dodatkowo zaleca się rotację wszystkich sekretów i tokenów (w tym danych uwierzytelniających Docker Hub) przechowywanych w repozytorium jako środek ostrożności na wypadek wcześniejszego wykorzystania podatności.
CloudPirates Open Source Helm Charts we wszystkich wersjach poprzedzających commit fcf9302 w repozytorium GitHub CloudPirates-io/helm-charts
Pomimo oceny CVSS 10.0 (CRITICAL) podatność nie figuruje w katalogu CISA KEV. Podatność dotyczy pipeline'u CI/CD w projekcie open source, co oznacza szczególne ryzyko dla łańcucha dostaw oprogramowania (supply chain attack) — skompromitowane obrazy kontenerów mogłyby być dystrybuowane do użytkowników korzystających z tych Helm Charts.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N