Jaisurya-Me

**Nome do Software Vulnerável e Versões Afetadas** goshs versões anteriores a 2.0.0-beta.6 **Descrição** goshs é um SimpleHTTPServer escrito em Go. Um problema de ArtiPACKED permite o vazamento do `GITHUB TOKEN` por meio de artefatos de fluxo de trabalho, mesmo quando o token não está incluído no código-fonte do repositório. **Recomendações** Atualize para a versão 2.0.0-beta.6.

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 4.5.140 Descrição Os fluxos de trabalho do GitHub Actions estão suscetíveis a um ataque ArtiPACKED, que é um vetor de vazamento de credenciais. Isso ocorre quando o `actions/checkout` é usado sem definir `persist-credentials: false`. Por padrão, essa ação grava o `GITHUB TOKEN` e, às vezes, o `ACTIONS RUNTIME TOKEN` no arquivo `.git/config`. Se etapas subsequentes do fluxo de trabalho fizerem o upload de artefatos, esses tokens podem ser incluídos. Como o repositório é público, usuários não autorizados podem baixar esses artefatos para extrair os tokens, permitindo potencialmente a inserção de código malicioso, a contaminação de versões e pacotes PyPI/Docker, o roubo de segredos do repositório e a execução de um comprometimento total da cadeia de suprimentos. O problema afeta vários arquivos em `.github/workflows/` e `.github/actions/`. Recomendações Atualizar para a versão 4.5.140. Definir `persist-credentials: false` na ação `actions/checkout` para evitar o vazamento de tokens.