W projekcie CloudPirates Open Source Helm Charts workflow GitHub Actions (generate-schema.yaml) nieprawidłowo obsługuje poświadczenia, umożliwiając kodowi kontrolowanemu przez fork dostęp do wrażliwych danych. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla łańcucha dostaw oprogramowania (CI/CD).
▸ Pokaż oryginał (EN)
CloudPirates Open Source Helm Charts is a collection of Helm charts. Prior to commit fcf9302, a GitHub Actions workflow (generate-schema.yaml) exposes sensitive credentials (Personal Access Token and SSH signing key) to fork-controlled code due to unsafe checkout and credential handling practices. This issue has been patched via commit fcf9302.
Workflow generate-schema.yaml wykonuje operację checkout kodu w sposób niebezpieczny, nie izolując prawidłowo środowiska wykonania od kodu pochodzącego z zewnętrznych forków repozytorium. W efekcie kod przesłany przez atakującego poprzez pull request z forka uzyskuje dostęp do zmiennych środowiskowych zawierających Personal Access Token (PAT) oraz klucz podpisujący SSH. Atakujący może w ten sposób pozyskać te poświadczenia w trakcie działania pipeline'u CI/CD.
Atakujący może przejąć Personal Access Token oraz klucz SSH przypisany do repozytorium, co umożliwia nieautoryzowany dostęp do powiązanych zasobów, modyfikację kodu lub naruszenie integralności łańcucha dostaw oprogramowania.
Należy zaktualizować repozytorium do wersji zawierającej commit fcf9302 (fcf930211604652aec15085895b6457bc8b73b54), który wprowadza poprawkę dotyczącą bezpiecznej obsługi poświadczeń w workflow GitHub Actions. Szczegóły dostępne w referencjach producenta (GHSA-r874-j8fr-x2pj).
CloudPirates Open Source Helm Charts – wszystkie wersje przed commitem fcf930211604652aec15085895b6457bc8b73b54
Podatność dotyczy środowiska CI/CD opartego na GitHub Actions – szczególnie istotna w kontekście projektów open source przyjmujących pull requesty z zewnętrznych forków. Wektor ataku nie wymaga uwierzytelnienia ani interakcji użytkownika (AV:N/AC:L/PR:N/UI:N).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N