CVE-2024-3924

huggingface/text-generation-inference, versões até e incluindo a v2.0.0

Existe uma vulnerabilidade de injeção de código no repositório huggingface/text-generation-inference, especificamente no arquivo de fluxo de trabalho autodocs.yml. A vulnerabilidade decorre do tratamento inseguro da entrada do usuário github.head ref, que é usada para construir dinamicamente um comando para a instalação de um pacote de software. Um invasor pode explorar essa vulnerabilidade bifurcando o repositório, criando um branch com uma carga maliciosa como nome e, em seguida, abrindo uma solicitação de pull para o repositório base. Uma exploração bem-sucedida poderia levar à execução de código arbitrário no contexto do executor do GitHub Actions.

Para versões até e incluindo a v2.0.0, atualize para a versão 2.0.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo de fluxo de trabalho autodocs.yml para minimizar o risco de exploração. Evite usar a entrada github.head ref no arquivo de fluxo de trabalho afetado até que o problema seja resolvido.