Avivdon

**Nome do Software Vulnerável e Versões Afetadas** CloudPirates Open Source Helm Charts versões anteriores ao commit fcf9302 **Description** Um fluxo de trabalho do GitHub Actions no arquivo `pull-request.yaml` executa código controlado por um invasor a partir de pull requests de forks em um contexto privilegiado. Isso permite a exfiltração de segredos do repositório, como credenciais e tokens do Docker Hub, sem a necessidade de aprovação de um mantenedor. **Recommendations** Atualize para a versão que contém o commit fcf9302.

**Nome do Software Vulnerável e Versões Afetadas** CloudPirates Open Source Helm Charts versões anteriores ao commit fcf9302 **Descrição** Um fluxo de trabalho do GitHub Actions chamado 'generate-schema.yaml' expõe credenciais sensíveis, especificamente um Personal Access Token e uma chave de assinatura SSH, para códigos controlados por forks. Isso ocorre devido a práticas inseguras de checkout e manipulação de credenciais. **Recomendações** Atualize para o commit fcf9302 ou uma versão posterior.

Espressif Shared GitHub DangerJS is a reusable GitHub Action CI DangerJS workflow for Espressif GitHub projects. Prior to 1.0.1, the action's entrypoint.sh invoked DangerJS from the caller's workspace after copying the fork's checkout into it, creating an untrusted search path for both binary resolution and Node.js module resolution. A fork pull request processed by a pull request target workflow could therefore cause fork-supplied code to execute inside the action container in place of the action's own code. This vulnerability is fixed in 1.0.1.

**Nome do Software Vulnerável e Versões Afetadas** Claude Code versões anteriores a 1.0.111 **Description** O Claude Code é uma ferramenta de codificação agente que contém um erro na implementação do diálogo de confiança de inicialização. Esta falha permite a injeção de código, onde a ferramenta pode ser enganada para executar código contido em um projeto antes que o usuário aceite o diálogo de confiança de inicialização. A exploração bem-sucedida requer que o usuário inicie a ferramenta em um diretório não confiável. **Recommendations** Atualize para a versão 1.0.111 ou posterior.