act: actions/cache server staat kwaadaardige cache-injectie toe
Platform
go
Component
act
Opgelost in
0.2.86
act is een project dat het lokaal uitvoeren van github actions mogelijk maakt. Voor versie 0.2.86 luistert de ingebouwde actions/cache server van act naar verbindingen op alle interfaces en staat iedereen die ermee verbinding kan maken, inclusief iemand ergens op het internet, toe om caches te creëren met willekeurige sleutels en alle bestaande caches op te halen. Als ze kunnen voorspellen welke cache-sleutels door lokale actions zullen worden gebruikt, kunnen ze kwaadaardige caches creëren die alle bestanden bevatten die ze willen, waardoor waarschijnlijk willekeurige remote code execution (RCE) binnen de docker container mogelijk is. Dit probleem is verholpen in versie 0.2.86.
Hoe te verhelpen
Update act naar versie 0.2.86 of hoger. Deze versie corrigeert de kwetsbaarheid die kwaadaardige cache-injectie mogelijk maakt. De update voorkomt dat externe aanvallers kwaadaardige caches creëren en willekeurige code uitvoeren binnen de Docker containers.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen