CRITICAL🇬🇧 English

CVE-2026-42298

Postiz: wykonanie kodu w workflow GitHub Actions przez złośliwy Pull Request

CVSS 10.0v3.1pub. 2026-05-08upd. 2026-06-01

Podatność typu 'Pwn Request' w narzędziu Postiz pozwala nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu podczas procesu budowania obrazu Docker oraz wykradzenie wysoce uprzywilejowanego tokenu GITHUB_TOKEN. Zagrożenie jest krytyczne, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji po stronie ofiary.

Pokaż oryginał (EN)

Postiz is an AI social media scheduling tool. Prior to commit da44801, a "Pwn Request" vulnerability in the Build and Publish PR Docker Image workflow (.github/workflows/pr-docker-build.yml) allows any unauthenticated user to execute arbitrary code during the Docker build process and exfiltrate a highly privileged GITHUB_TOKEN (write-all permissions). This can be achieved simply by opening a Pull Request from a fork with a maliciously modified Dockerfile.dev. This issue has been patched via commit da44801.

🤖 Analiza AI
Jak działa

Workflow GitHub Actions o nazwie 'Build and Publish PR Docker Image' (.github/workflows/pr-docker-build.yml) uruchamia się automatycznie w odpowiedzi na Pull Requesty z forków zewnętrznych repozytoriów. Atakujący może otworzyć Pull Request z forka, w którym zmodyfikował plik Dockerfile.dev w złośliwy sposób. Podczas automatycznego budowania obrazu Docker w kontekście repozytorium ofiary, wprowadzony kod zostaje wykonany z dostępem do zmiennej środowiskowej GITHUB_TOKEN posiadającej uprawnienia zapisu do wszystkich zasobów (write-all). Pozwala to na eksfiltrację tokenu i dalsze działania w kontekście repozytorium.

Skutki

Atakujący może wykonać dowolny kod w środowisku CI/CD, wykraść token GITHUB_TOKEN z uprawnieniami write-all, a następnie modyfikować kod źródłowy, publikować złośliwe pakiety, manipulować wydaniami lub uzyskać dostęp do sekretów repozytorium.

Mitygacja

Należy zaktualizować repozytorium do wersji zawierającej commit da44801, który usuwa podatną konfigurację workflow. Szczegóły dostępne w security advisory producenta: GHSA-v975-9h5p-xhm4

Kogo dotyczy

Aplikacja Postiz (postiz-app) w wersjach przed commitem da44801 — dotyczy instancji korzystających z podatnego workflow GitHub Actions (.github/workflows/pr-docker-build.yml)

Uwagi

Podatność sklasyfikowana jako 'Pwn Request' — klasa błędów polegająca na uruchamianiu kodu z Pull Requestów zewnętrznych forków w uprzywilejowanym kontekście workflow GitHub Actions. Poprawka wprowadzona commitem da44801 w repozytorium gitroomhq/postiz-app.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Gitroom Postiz

    APP
    Gitroom
    < 2.21.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEContainer
CWE
Referencje

Powiązane podatności

CVE-2026-42556HIGH8.9ten sam produkt

Postiz is an AI social media scheduling tool. From version 2.21.6 to before version 2.21.7, any authenticated ...

CVE-2026-40487HIGH8.9ten sam produkt

Postiz is an AI social media scheduling tool. Prior to version 2.21.6, a file upload validation bypass allows ...

CVE-2026-40168HIGH8.2ten sam produkt

Postiz is an AI social media scheduling tool. Prior to 2.21.5, the /api/public/stream endpoint is vulnerable t...

CVE-2026-34576HIGH8.3ten sam produkt

Postiz is an AI social media scheduling tool. Prior to version 2.21.3, the POST /public/v1/upload-from-url end...

CVE-2026-34577HIGH8.6ten sam produkt

Postiz is an AI social media scheduling tool. Prior to version 2.21.3, the GET /public/stream endpoint in Publ...