Eladb

**Nome do software vulnerável e versões afetadas** Versões do projen anteriores à 0.16.41 Versões do projen anteriores à 0.17.0 **Descrição** A ferramenta `projen` sintetiza arquivos de configuração de projeto a partir de uma definição bem tipada escrita em JavaScript. Os usuários do tipo de projeto `NodeProject` do `projen` incluem um fluxo de trabalho `.github/workflows/rebuild-bot.yml` que pode permitir que qualquer usuário do GitHub acione a execução de código não confiável no contexto do repositório “main”. Esse fluxo de trabalho é acionado por comentários que incluem `@projen rebuild` em pull requests e é executado com um `GITHUB TOKEN` pertencente ao repositório para o qual o pull request é feito. Repositórios sem proteção de ramificação configurada em sua ramificação padrão podem permitir que um usuário não confiável obtenha acesso a segredos configurados no repositório. **Recomendações** Para versões anteriores à 0.16.41, atualize o `projen` para a versão 0.16.41 ou posterior para mitigar o problema. Para versões anteriores à 0.17.0, atualize o `projen` para a versão 0.17.0 ou posterior para remover completamente o fluxo de trabalho `rebuild-bot.yml`. Como solução temporária, considere remover o arquivo `.github/workflows/rebuild-bot.yml` e adicioná-lo ao arquivo `.gitignore` (por meio do `projenrc.js`) para mitigar o problema.