CVE-2022-29220

Versões do github-action-merge-dependabot anteriores à 3.2.0

O github-action-merge-dependabot é uma ação que aprova e mescla automaticamente pull requests (PRs) do dependabot. Antes da versão 3.2.0, ele não verifica se um commit criado pelo dependabot foi autenticado com a chave GPG correta. Há apenas uma verificação para ver se o autor está definido como dependabot[bot] para determinar se o PR é legítimo. Teoricamente, o proprietário de uma ação aparentemente válida e legítima no pipeline pode verificar se o PR foi criado pelo dependabot e se sua própria ação possui permissões suficientes para modificar o PR no pipeline. Se for o caso, ele pode modificar o PR adicionando um segundo commit aparentemente válido e legítimo ao PR, já que pode definir arbitrariamente o username e o email nos commits no git. Como o bot verifica apenas se o autor é válido, ele permitiria a passagem das alterações maliciosas e mesclaria o PR automaticamente, sem que os mantenedores do projeto percebessem. Provavelmente não seria possível determinar de onde veio o commit malicioso, já que ele indicaria apenas dependabot[bot] e o endereço de e-mail correspondente.

Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 ou posterior para resolver o problema. Como solução temporária, considere verificar manualmente os commits nas pull requests do dependabot antes de mesclá-las. Restrinja o acesso ao pipeline para minimizar o risco de exploração. Evite usar o username e o email