act: actions/cache सर्वर दुर्भावनापूर्ण कैश इंजेक्शन (cache injection) की अनुमति देता है

act एक परियोजना है जो github actions को स्थानीय रूप से चलाने की अनुमति देती है। संस्करण 0.2.86 से पहले, act का बिल्ट-इन actions/cache सर्वर सभी इंटरफेस पर कनेक्शन सुनता है और किसी को भी जो इससे कनेक्ट हो सकता है, जिसमें इंटरनेट पर कहीं भी कोई भी शामिल है, मनमानी कुंजियों (arbitrary keys) के साथ कैश बनाने और सभी मौजूदा कैश को पुनः प्राप्त करने की अनुमति देता है। यदि वे अनुमान लगा सकते हैं कि स्थानीय क्रियाओं द्वारा किन कैश कुंजियों (cache keys) का उपयोग किया जाएगा, तो वे दुर्भावनापूर्ण कैश बना सकते हैं जिसमें वे जो चाहें वो फाइलें हों, जिससे डॉकर कंटेनर (docker container) के भीतर मनमाना रिमोट कोड निष्पादन (arbitrary remote code execution) की अनुमति मिलने की संभावना है। इस समस्या को संस्करण 0.2.86 में ठीक कर दिया गया है।