CVE-2022-39326

Versões do kartverket/github-workflows anteriores à 2.7.5

O problema é uma vulnerabilidade de injeção de código que afeta todos os usuários do fluxo de trabalho reutilizável run-terraform do repositório kartverket/github-workflows. Um agente mal-intencionado poderia enviar um PR com uma carga maliciosa, levando à execução de código JavaScript arbitrário no contexto do fluxo de trabalho.

Para versões anteriores à 2.7.5, atualize para pelo menos a versão 2.7.5 para resolver o problema.

Como solução alternativa temporária, verifique se há cargas maliciosas em quaisquer pull requests de usuários externos antes de permitir que eles acionem uma compilação.