CVE-2020-15228

Versões do @actions/core anteriores à 1.2.6

O problema decorre das funções addPath e exportVariable no módulo npm @actions/core, que se comunicam com o Actions Runner por meio do stdout, gerando uma string em um formato específico. Isso pode levar à modificação indesejada de caminhos ou variáveis de ambiente quando os fluxos de trabalho registram dados não confiáveis no stdout. O problema é causado pela forma como os comandos são trocados entre o processo do Actions Runner e a ação executada por meio do fluxo de saída padrão (STDOUT), onde o Actions Runner analisa a saída padrão e identifica marcadores de comando.

Para versões anteriores à 1.2.6, atualize para @actions/core v1.2.6 ou posterior e substitua qualquer instância dos comandos set-env ou add-path nos fluxos de trabalho pela nova sintaxe de arquivo de ambiente. Como solução alternativa temporária, considere restringir o uso das funções addPath e exportVariable até que a atualização seja aplicada.