CRITICAL🇬🇧 English

CVE-2026-27941

OpenLIT: niebezpieczne użycie pull_request_target w GitHub Actions

CVSS 9.9v3.1pub. 2026-02-26upd. 2026-03-06

Podatność w platformie OpenLIT umożliwia wykonanie niezaufanego kodu z forka repozytorium w kontekście bezpieczeństwa repozytorium bazowego, z dostępem do uprzywilejowanego tokenu GITHUB_TOKEN oraz wrażliwych sekretów. Ze względu na krytyczny poziom CVSS 9.9 i możliwość przejęcia całego środowiska CI/CD, zagrożenie jest bardzo poważne.

Pokaż oryginał (EN)

OpenLIT is an open source platform for AI engineering. Prior to version 1.37.1, several GitHub Actions workflows in OpenLIT's GitHub repository use the `pull_request_target` event while checking out and executing untrusted code from forked pull requests. These workflows run with the security context of the base repository, including a write-privileged `GITHUB_TOKEN` and numerous sensitive secrets (API keys, database/vector store tokens, and a Google Cloud service account key). Version 1.37.1 contains a fix.

🤖 Analiza AI
Jak działa

Przepływy pracy GitHub Actions w repozytorium OpenLIT używają zdarzenia `pull_request_target`, które uruchamia workflow w kontekście repozytorium bazowego — nawet gdy kod pochodzi z zewnętrznego forka. Atakujący może otworzyć złośliwy pull request z forka, a jego kod zostanie pobrany i wykonany w uprzywilejowanym kontekście. Daje to dostęp do tokenu GITHUB_TOKEN z uprawnieniami zapisu oraz do wrażliwych sekretów, takich jak klucze API, tokeny baz danych i klucz konta usługi Google Cloud.

Skutki

Atakujący uwierzytelniony jako zewnętrzny kontrybutor może uzyskać pełny dostęp do wrażliwych sekretów repozytorium oraz wykonywać uprzywilejowane operacje w środowisku CI/CD, co może prowadzić do kompromitacji całego łańcucha dostaw oprogramowania (supply chain attack).

Mitygacja

Należy zaktualizować OpenLIT do wersji 1.37.1, która zawiera poprawkę eliminującą podatne użycie zdarzenia `pull_request_target`. Szczegóły poprawki dostępne są w commicie 4a62039a1659d6cbb8913172693f587b5fc2546c oraz w security advisory GHSA-9jgv-x8cq-296q.

Kogo dotyczy

OpenLIT Software Development Kit (platforma OpenLIT) w wersjach wcześniejszych niż 1.37.1

Uwagi

Podatność dotyczy infrastruktury CI/CD samego projektu OpenLIT (pliki GitHub Actions workflows w repozytorium), a nie bezpośrednio kodu biblioteki SDK wdrożonego u użytkowników. Ryzyko dotyczy przede wszystkim środowiska deweloperskiego projektu oraz potencjalnego skażenia wydawanych artefaktów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Openlit Software Development Kit

    APP
    Openlit
    1.36.2 – 1.37.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
CI/CD
CWE
Referencje
CVE-2026-27941 — OpenLIT: niebezpieczne użycie pull_request_target w GitHub Actions — CRITICAL 9.9 | CVEbaza.pl