CVE-2021-21423

Versões do projen anteriores à 0.16.41

Versões do projen anteriores à 0.17.0

A ferramenta projen sintetiza arquivos de configuração de projeto a partir de uma definição bem tipada escrita em JavaScript. Os usuários do tipo de projeto NodeProject do projen incluem um fluxo de trabalho .github/workflows/rebuild-bot.yml que pode permitir que qualquer usuário do GitHub acione a execução de código não confiável no contexto do repositório “main”. Esse fluxo de trabalho é acionado por comentários que incluem @projen rebuild em pull requests e é executado com um GITHUB TOKEN pertencente ao repositório para o qual o pull request é feito. Repositórios sem proteção de ramificação configurada em sua ramificação padrão podem permitir que um usuário não confiável obtenha acesso a segredos configurados no repositório.

Para versões anteriores à 0.16.41, atualize o projen para a versão 0.16.41 ou posterior para mitigar o problema.

Para versões anteriores à 0.17.0, atualize o projen para a versão 0.17.0 ou posterior para remover completamente o fluxo de trabalho rebuild-bot.yml.

Como solução temporária, considere remover o arquivo .github/workflows/rebuild-bot.yml e adicioná-lo ao arquivo .gitignore (por meio do projenrc.js) para mitigar o problema.