CVE-2024-42370

Litestar versões 2.10.0 e anteriores

O problema está relacionado à injeção de variáveis de ambiente no fluxo de trabalho docs-preview.yml do Litestar, o que pode levar à exfiltração de segredos e à manipulação do repositório. Isso concede a um agente mal-intencionado permissão para criar issues, ler metadados e enviar pull requests. O DOCS PREVIEW DEPLOY TOKEN também fica exposto ao invasor. A vulnerabilidade permite que um invasor envie um arquivo .pr number malicioso, que pode definir novas variáveis de ambiente, incluindo LD PRELOAD, para forçar o sistema a carregar uma biblioteca compartilhada maliciosa. Isso pode resultar na execução de código arbitrário quando o comando node é executado.

Para as versões 2.10.0 e anteriores do Litestar, verifique o conteúdo dos artefatos baixados e não permita novas linhas no valor redirecionado para GITHUB ENV. Como solução temporária, considere restringir o acesso ao fluxo de trabalho docs-preview.yml até que uma correção seja aplicada. Atualize para uma versão que inclua a correção, pois o commit 84d351e96aaa2a1338006d6e7221eded161f517b contém uma correção para este problema.