OpenLIT — это платформа с открытым исходным кодом для разработки искусственного интеллекта. До версии 1.37.1 несколько рабочих процессов GitHub Actions в репозитории OpenLIT GitHub использовали событие pull_request_target при проверке и выполнении ненадежного кода из разветвленных запросов на включение. Эти рабочие процессы выполняются с контекстом безопасности базового репозитория, включая GITHUB_TOKEN с привилегиями записи и многочисленные конфиденциальные секреты (ключи API, токены хранилища баз данных/векторов и ключ учетной записи службы Google Cloud).
Версия 1.37.1 содержит исправление.
Показать оригинальное описание (EN)
OpenLIT is an open source platform for AI engineering. Prior to version 1.37.1, several GitHub Actions workflows in OpenLIT's GitHub repository use the `pull_request_target` event while checking out and executing untrusted code from forked pull requests. These workflows run with the security context of the base repository, including a write-privileged `GITHUB_TOKEN` and numerous sensitive secrets (API keys, database/vector store tokens, and a Google Cloud service account key). Version 1.37.1 contains a fix.
Характеристики атаки
Последствия
Строка CVSS v3.1