act : le serveur actions/cache permet l’injection de cache malveillant

act est un projet qui permet l’exécution locale d’actions GitHub. Avant la version 0.2.86, le serveur actions/cache intégré d’act écoute les connexions sur toutes les interfaces et permet à quiconque peut s’y connecter, y compris une personne n’importe où sur Internet, de créer des caches avec des clés arbitraires et de récupérer tous les caches existants. S’ils peuvent prédire quelles clés de cache seront utilisées par les actions locales, ils peuvent créer des caches malveillants contenant les fichiers qu’ils souhaitent, ce qui permet très probablement l’exécution de code à distance arbitraire dans le conteneur Docker. Ce problème a été corrigé dans la version 0.2.86.