CVE-2021-32638

CodeQL runner (versões afetadas não especificadas)

Anteriormente, o CodeQL runner sugeria passar um token do GitHub como parâmetro de linha de comando, tornando-o visível para outros processos na mesma máquina. Essa abordagem pode expor o token de acesso do GitHub além do escopo pretendido se o sistema de CI expor publicamente a saída do comando ps. Os usuários do executador CodeQL em sistemas de terceiros que passam um token do GitHub por meio do sinalizador --github-auth são afetados. O sinalizador --github-auth agora é considerado inseguro e obsoleto. Para fornecer um token de acesso do GitHub com segurança, os usuários devem usar o sinalizador --github-auth-stdin e passar o token pela entrada padrão ou definir a variável de ambiente GITHUB TOKEN.

Para resolver o problema, atualize para uma versão recente do executador CodeQL.

Armazene um token no mecanismo de armazenamento de segredos do seu sistema de CI.

Passe o token para o executador CodeQL usando --github-auth-stdin ou a variável de ambiente GITHUB TOKEN.

Se ainda estiver usando o sinalizador antigo, certifique-se de que a saída do processo, como a do ps, não seja mantida nos logs de CI.