CRITICAL🇬🇧 English

CVE-2026-45132

Wyciek poświadczeń w GitHub Actions workflow – CloudPirates Helm Charts

CVSS 10.0v3.1pub. 2026-06-01

W projekcie CloudPirates Open Source Helm Charts workflow GitHub Actions (generate-schema.yaml) nieprawidłowo obsługuje poświadczenia, umożliwiając kodowi kontrolowanemu przez fork dostęp do wrażliwych danych. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla łańcucha dostaw oprogramowania (CI/CD).

Pokaż oryginał (EN)

CloudPirates Open Source Helm Charts is a collection of Helm charts. Prior to commit fcf9302, a GitHub Actions workflow (generate-schema.yaml) exposes sensitive credentials (Personal Access Token and SSH signing key) to fork-controlled code due to unsafe checkout and credential handling practices. This issue has been patched via commit fcf9302.

🤖 Analiza AI
Jak działa

Workflow generate-schema.yaml wykonuje operację checkout kodu w sposób niebezpieczny, nie izolując prawidłowo środowiska wykonania od kodu pochodzącego z zewnętrznych forków repozytorium. W efekcie kod przesłany przez atakującego poprzez pull request z forka uzyskuje dostęp do zmiennych środowiskowych zawierających Personal Access Token (PAT) oraz klucz podpisujący SSH. Atakujący może w ten sposób pozyskać te poświadczenia w trakcie działania pipeline'u CI/CD.

Skutki

Atakujący może przejąć Personal Access Token oraz klucz SSH przypisany do repozytorium, co umożliwia nieautoryzowany dostęp do powiązanych zasobów, modyfikację kodu lub naruszenie integralności łańcucha dostaw oprogramowania.

Mitygacja

Należy zaktualizować repozytorium do wersji zawierającej commit fcf9302 (fcf930211604652aec15085895b6457bc8b73b54), który wprowadza poprawkę dotyczącą bezpiecznej obsługi poświadczeń w workflow GitHub Actions. Szczegóły dostępne w referencjach producenta (GHSA-r874-j8fr-x2pj).

Kogo dotyczy

CloudPirates Open Source Helm Charts – wszystkie wersje przed commitem fcf930211604652aec15085895b6457bc8b73b54

Uwagi

Podatność dotyczy środowiska CI/CD opartego na GitHub Actions – szczególnie istotna w kontekście projektów open source przyjmujących pull requesty z zewnętrznych forków. Wektor ataku nie wymaga uwierzytelnienia ani interakcji użytkownika (AV:N/AC:L/PR:N/UI:N).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
CI/CD
CWE
Referencje