Plattform
python
Komponente
owasp-blt
Behoben in
2.1.1
CVE-2026-40316 describes a Remote Code Execution (RCE) vulnerability affecting OWASP BLT versions 2.1.0 through 2.1. This flaw arises from insecure handling of pull requests within the .github/workflows/regenerate-migrations.yml workflow, allowing attackers to execute arbitrary code on the runner. The vulnerability was published on 2026-04-15 and a fix is available in version 2.1.1.
Die CVE-2026-40316 in OWASP BLT, mit einem CVSS-Score von 8.8, stellt ein kritisches Risiko für die Remote Code Execution (RCE) dar. Dieser Fehler liegt in der Datei .github/workflows/regenerate-migrations.yml, insbesondere in der Art und Weise, wie der Workflow Pull Requests (PRs) verarbeitet. Der Workflow wird durch das Ereignis pullrequesttarget ausgelöst und läuft mit vollen Schreibberechtigungen für das GITHUB_TOKEN. Ein Angreifer kann diese Schwachstelle ausnutzen, um bösartige Dateien über eine PR in den Runner-Arbeitsbereich einzuschleusen, die dann ausgeführt werden und potenziell das gesamte System kompromittieren. Die Schwere dieser Schwachstelle ergibt sich aus der einfachen Ausnutzbarkeit und dem potenziellen Schaden, einschließlich der vollständigen Übernahme des Servers.
Die Schwachstelle wird über eine bösartige Pull Request ausgenutzt. Der Angreifer erstellt eine Pull Request, die Dateien enthält, die so konzipiert sind, dass sie auf dem GitHub Actions Runner extrahiert und ausgeführt werden. Der Workflow regenerate-migrations.yml verwendet git show, um diese Dateien aus der Pull Request in den Runner-Arbeitsbereich zu kopieren. Da der Workflow mit dem GITHUB_TOKEN mit vollen Schreibberechtigungen ausgeführt wird, können die kopierten Dateien ausgeführt werden, wodurch der Angreifer in der Lage ist, beliebigen Code auf dem System auszuführen. Das Fehlen einer Validierung der Quelle der Dateien und die Ausführung von Befehlen basierend auf dem Inhalt der Pull Request sind Schlüsselfaktoren, die diese Ausnutzung ermöglichen.
Organizations using OWASP BLT for QA testing and vulnerability disclosure, particularly those relying on automated pull request workflows, are at risk. Shared hosting environments where multiple users have access to the repository are especially vulnerable, as a compromised user account could be used to submit malicious pull requests.
• python / server:
find /path/to/owasp-blt -name '.github/workflows/regenerate-migrations.yml' -print0 | xargs -0 grep -i 'git show' • generic web:
curl -I https://your-blt-instance.com/.github/workflows/regenerate-migrations.yml | grep 'Content-Type: application/json' # Check if the workflow file is accessibledisclosure
Exploit-Status
EPSS
0.07% (20% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-40316 ist das Upgrade von OWASP BLT auf Version 2.1.1 oder höher. Diese Version enthält eine Korrektur, die die Ausführung bösartiger Dateien verhindert, die über Pull Requests eingeschleust wurden. Darüber hinaus wird empfohlen, die Konfigurationen Ihrer GitHub Actions Workflows zu überprüfen und zu härten und die Berechtigungen des GITHUB_TOKEN auf das unbedingt notwendige Minimum zu beschränken. Die Implementierung einer strengen Code-Review-Richtlinie für Pull Requests kann ebenfalls dazu beitragen, die Einführung von bösartigem Code zu erkennen und zu verhindern. Die Überwachung der GitHub Actions Protokolle auf verdächtige Aktivitäten ist eine weitere wichtige vorbeugende Maßnahme.
Aktualisieren Sie OWASP BLT auf Version 2.1.1 oder höher, um die (Remote Code Execution) Schwachstelle zu beheben. Dieses Update behebt das Problem, indem die Ausführung von beliebigem Code in der CI-Umgebung durch die Importierung nicht vertrauenswürdiger Django-Modelle verhindert wird.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
OWASP BLT ist eine QA-Test- und Vulnerability-Disclosure-Plattform, die Websites, Apps, Git-Repositories und mehr umfasst.
Die Schwachstelle ermöglicht die Remote Code Execution (RCE), d. h. ein Angreifer kann beliebigen Code auf dem Server ausführen, der OWASP BLT ausführt.
Wenn Sie eine Version von OWASP BLT vor 2.1.1 verwenden, sind Sie wahrscheinlich betroffen.
Aktualisieren Sie OWASP BLT sofort auf Version 2.1.1 oder höher.
Überprüfen und härten Sie die Konfigurationen Ihrer GitHub Actions Workflows und implementieren Sie eine strenge Code-Review-Richtlinie.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.