Black — бескомпромиссный форматировщик кода Python. Black предоставляет действие GitHub для форматирования кода. Это действие поддерживает опцию use_pyproject: true для чтения используемой версии Black из репозитория pyproject.toml.
Вредоносный запрос на извлечение может изменить pyproject.toml, чтобы использовать прямую URL-ссылку на вредоносный репозиторий. Это может привести к выполнению произвольного кода в контексте действия GitHub. Злоумышленники могут затем получить доступ к секретам или разрешениям, доступным в контексте действия.
Версия 26.3.0 устраняет эту уязвимость.
Показать оригинальное описание (EN)
Black is the uncompromising Python code formatter. Black provides a GitHub action for formatting code. This action supports an option, use_pyproject: true, for reading the version of Black to use from the repository pyproject.toml. A malicious pull request could edit pyproject.toml to use a direct URL reference to a malicious repository. This could lead to arbitrary code execution in the context of the GitHub Action. Attackers could then gain access to secrets or permissions available in the context of the action. Version 26.3.0 fixes this vulnerability.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Python Black
cpe:2.3:a:python:black:*:*:*:*:*:*:*:*
|
— |
26.3.0
|