Jackhac

**Name of the Vulnerable Software and Affected Versions** Wazuh version 4.12.0 **Description** Wazuh version 4.12.0 has an issue where the `GITHUB TOKEN` can be extracted from uploaded artifacts in GitHub Actions workflows. This allows attackers to potentially perform unauthorized actions, such as pushing malicious commits or altering release tags, within a limited timeframe. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Versões do phpgt/Dom anteriores à 4.1.8 **Descrição** A vulnerabilidade expõe o GITHUB TOKEN no artefato de execução do workflow Dom. Isso ocorre porque o arquivo de workflow ci.yml usa actions/upload-artifact@v4 para fazer upload do artefato de build, que é um zip do diretório atual e inclui o arquivo .git/config gerado automaticamente contendo o GITHUB TOKEN da execução. Um atacante pode extrair o token do artefato e usá-lo com a GitHub API para realizar push de código malicioso ou reescrever commits de release no repositório. O token é válido apenas durante a duração da execução do workflow, limitando o tempo durante o qual a exploração poderia ocorrer. Usuários downstream do repositório podem ser afetados. **Recomendações** Para versões anteriores à 4.1.8, atualize para a versão 4.1.8 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à ação `actions/upload-artifact@v4` no arquivo de workflow ci.yml até que a atualização seja aplicada. Evite usar o `GITHUB TOKEN` no workflow afetado até que a vulnerabilidade seja resolvida.

**Name of the Vulnerable Software and Affected Versions** Adept versions prior to commit a1a41b7 **Description** The issue concerns the exposure of the GITHUB TOKEN in the Adept language workflow. Prior to commit a1a41b7, the remoteBuild.yml workflow file uses actions/upload-artifact@v4 to upload the mac-standalone artifact, which is a zip of the current directory and includes the automatically generated .git/config file containing the run's GITHUB TOKEN. This allows an attacker to extract the token from the artifact and use it with the Github API to push malicious code or rewrite release commits in the AdeptLanguage/Adept repository. **Recommendations** For versions prior to commit a1a41b7, update to a version that includes the patch from commit a1a41b7 to resolve the issue. As a temporary workaround, consider restricting access to the `actions/upload-artifact@v4` action in the remoteBuild.yml workflow file until the patch is applied.

**Nome do Software Vulnerável e Versões Afetadas** Versões 1.38 e anteriores do z80pack **Descrição** O problema diz respeito à exposição de informações sensíveis, especificamente o GITHUB TOKEN, no artefato de execução do workflow. Isso ocorre porque o arquivo de workflow `makefile-ubuntu.yml` utiliza `actions/upload-artifact@v4` para enviar o artefato `z80pack-ubuntu`, que é um arquivo zip do diretório atual e inclui o arquivo `.git/config` gerado automaticamente contendo o GITHUB TOKEN da execução. Um atacante pode extrair o token do artefato e utilizá-lo com a API do Github para enviar código malicioso ou reescrever commits de release no repositório. **Recomendações** Para as versões 1.38 e anteriores, atualize para uma versão que inclua a correção do commit bd95916 para prevenir a exposição do GITHUB TOKEN. Como medida temporária, considere restringir o acesso ao arquivo de workflow `makefile-ubuntu.yml` até que o problema seja resolvido. Evite utilizar a ação `actions/upload-artifact@v4` no arquivo de workflow `makefile-ubuntu.yml` até que o problema seja resolvido.