Wazuh версии 4.12.0 содержит уязвимость в артефактах рабочего процесса GitHub Actions, которая позволяет злоумышленникам извлечь GITHUB_TOKEN из загруженных артефактов. Злоумышленники могут использовать открытый токен в течение ограниченного периода времени для выполнения несанкционированных действий, таких как внедрение вредоносных коммитов или изменение тегов выпуска.
Показать оригинальное описание (EN)
Wazuh version 4.12.0 contains an exposure vulnerability in GitHub Actions workflow artifacts that allows attackers to extract the GITHUB_TOKEN from uploaded artifacts. Attackers can use the exposed token within a limited time window to perform unauthorized actions such as pushing malicious commits or altering release tags.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0