Albertopellitteri

**Nome do Software Vulnerável e Versões Afetadas** Versões 0.9.2 e anteriores do react-native-bottom-tabs **Descrição** A biblioteca react-native-bottom-tabs utilizou indevidamente o gatilho de evento `pull request target` no workflow do GitHub Actions `github/workflows/release-canary.yml`. Isso permitiu que código não confiável de um pull request de um fork fosse executado em um contexto privilegiado. Um atacante poderia criar um pull request contendo um script `preinstall` malicioso no arquivo `package.json` e acionar o workflow vulnerável postando um comentário específico (!canary). Isso possibilitou a execução arbitrária de código, potencialmente levando à exfiltração de segredos sensíveis, como `GITHUB TOKEN` e `NPM TOKEN`, e à possibilidade de enviar código malicioso para o repositório ou publicar pacotes comprometidos no registro NPM. Estima-se que aproximadamente 158.500 serviços sejam afetados anualmente. **Recomendações** Versões do react-native-bottom-tabs anteriores ao lançamento contendo a correção para a CVE-2025-54594 são vulneráveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do dedupe anteriores ao commit 3f61e79 **Descrição** O dedupe é uma biblioteca Python utilizada para correspondência fuzzy, deduplicação e resolução de entidades em dados estruturados. Existe uma vulnerabilidade de severidade crítica no workflow `.github/workflows/benchmark-bot.yml`, acionada por um `issue comment` com o corpo `@benchmark`. Este workflow realiza o checkout da branch de um pull request (PR) manipulado por atores potencialmente maliciosos, levando à execução de código não confiável. Isso pode resultar na exfiltração do `GITHUB TOKEN`, que possui permissões de escrita, potencialmente levando à tomada de controle do repositório. **Recomendações** Atualize para o commit 3f61e79 ou posterior para resolver este problema.

**Name of the Vulnerable Software and Affected Versions** dag-factory versions 0.23.0a8 and below **Description** dag-factory is a library for Apache Airflow® used to construct DAGs declaratively via configuration files. A high-severity issue exists in the `cicd.yml` workflow within the astronomer/dag-factory GitHub repository. When triggered by `pull request target`, the workflow is susceptible to exploitation, allowing an attacker to execute arbitrary code within the GitHub Actions runner environment. This misconfiguration enables an attacker to establish a reverse shell, exfiltrate sensitive secrets, including the `GITHUB TOKEN`, and gain full control over the repository. **Recommendations** Update to version 0.23.0a9 or later.

**Nome do Software Vulnerável e Versões Afetadas:** Folo (versões afetadas não especificadas) **Descrição:** O Folo organiza o conteúdo de feeds em uma única linha do tempo. O uso de `pull request target` no arquivo de workflow `.github/workflows/auto-fix-lint-format-commit.yml` pode ser explorado por atacantes para executar código não confiável com acesso total aos segredos do repositório. Isso permite a exfiltração do `GITHUB TOKEN`, que possui privilégios elevados, incluindo acesso de gravação de conteúdo, permitindo controle completo sobre o repositório. **Recomendações:** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do pgai anteriores a 8eb3567 **Descrição** O problema diz respeito à biblioteca Python pgai, que transforma o PostgreSQL em um mecanismo de recuperação para aplicações RAG e baseadas em agentes. Antes de um commit específico, a biblioteca estava vulnerável a um ataque que permitia a exfiltração de todos os segredos utilizados em um workflow. Isso incluía o GITHUB TOKEN com permissões de escrita para o repositório, permitindo que um atacante adulterasse todos os aspectos do repositório, como fazer push de código arbitrário e releases. **Recomendações** Para versões anteriores a 8eb3567, atualize para uma versão que inclua a correção do commit 8eb3567 para prevenir a exfiltração de segredos. Como medida temporária, considere restringir o acesso a informações sensíveis e segredos dentro do workflow para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: Versões do Spotipy anteriores ao commit que reverteu a alteração (commit 9dfb7177b8d7bb98a5a6014f8e6436812a47576f) Descrição: O problema concerne ao uso de `pull request target` em `.github/workflows/integration tests.yml`, o qual pode ser explorado por atacantes para executar código não confiável com acesso total aos segredos do repositório base. Isso pode levar à exfiltração de informações sensíveis, incluindo `GITHUB TOKEN`, `SPOTIPY CLIENT ID` e `SPOTIPY CLIENT SECRET`. O `GITHUB TOKEN` pode ser usado para assumir completamente o controle do repositório devido aos seus privilégios de escrita de conteúdo. Esta é uma grande preocupação de segurança, especialmente em repositórios públicos, pois permite a execução de código não confiável de um pull request com o contexto do repositório base. Recomendações: Como solução temporária, considere desabilitar o uso de `pull request target` em `.github/workflows/integration tests.yml` até que uma correção esteja disponível. Restrinja o acesso a segredos, como `GITHUB TOKEN`, `SPOTIPY CLIENT ID` e `SPOTIPY CLIENT SECRET`, para minimizar o risco de exploração. Atualize para uma versão que inclua o commit 9dfb7177b8d7bb98a5a6014f8e6436812a47576f, que reverteu a alteração que causou o problema.

Nome do Software Vulnerável e Versões Afetadas: kernel do Linux (versões afetadas não especificadas) Descrição: O problema está relacionado a uma escrita fora dos limites (out-of-bounds write) de alta severidade no módulo uvcvideo, especificamente na função `uvc parse format`. Isso pode potencialmente levar à elevação de privilégios. Recomendações: Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.