Vulnerabilità: CVE-2020-15228

Nel `@ azioni / core` npm modulo prima versione 1.2.6,` `addPath` e funzioni exportVariable` comunicano con le azioni corridore sopra stdout generando una stringa in un formato specifico. I flussi di lavoro che registrano i dati non attendibili sullo standard output può invocare questi comandi, con conseguente nelle variabili di percorso o di ambiente di essere modificate senza l’intenzione del flusso di lavoro o l’azione dell’autore. Il corridore rilascerà un aggiornamento che disattiva il `set-env` e` add-path` workflow comandi nel prossimo futuro. Per il momento, gli utenti devono eseguire l’aggiornamento a `@ azioni / core v1.2.6` o poi, e sostituire qualsiasi istanza del` set-env` o `aggiuntivo path` comandi nei loro flussi di lavoro con il nuovo ambiente Sintassi del file. Flussi di lavoro e le azioni che utilizzano i vecchi comandi o vecchie versioni del toolkit inizierà a mettere in guardia, quindi errore durante l’esecuzione del flusso di lavoro.


https://github.com/actions/toolkit/security/advisories/GHSA-mfwh-5m23-j46w
https://github.com/actions/toolkit/security/advisories/GHSA-mfwh-5m23-j46w
http://packetstormsecurity.com/files/159794/GitHub-Widespread-Injection.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15228


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi