Savio Dsouza

**Name of the Vulnerable Software and Affected Versions** OWASP BLT versões anteriores a 2.1.1 **Description** Um problema existe no fluxo de trabalho '.github/workflows/regenerate-migrations.yml' onde o gatilho 'pull request target' é executado com permissões completas de escrita do `GITHUB TOKEN`. O fluxo de trabalho copia arquivos de pull requests não confiáveis para o espaço de trabalho do executor confiável usando 'git show' e executa 'python manage.py makemigrations'. Esse processo importa módulos de modelo Django, incluindo um `website/models.py` controlado por um invasor, em tempo de execução. Qualquer código Python em nível de módulo no `models.py` do invasor é executado durante a importação, permitindo a execução de código arbitrário no ambiente de CI privilegiado. Isso fornece acesso ao `GITHUB TOKEN` e segredos do repositório. O problema pode ser acionado por um contribuidor externo que abra um pull request, desde que um mantenedor aplique o rótulo 'regenerate-migrations', o que pode levar à exfiltração de segredos, comprometimento do repositório e ataques à cadeia de suprimentos. Este problema está sob exploração ativa. **Recommendations** Atualizar para a versão 2.1.1.