CVE-2024-47179

Versões do RSSHub anteriores ao commit 64e00e7

O fluxo de trabalho docker-test-cont.yml do RSSHub está vulnerável a envenenamento de artefato (Artifact Poisoning), o que poderia ter levado à apropriação total do repositório. O fluxo de trabalho é acionado quando o fluxo de trabalho PR - Docker build test é concluído com sucesso e baixa um artefato enviado pelo fluxo de trabalho acionador. No entanto, antes do commit 64e00e7, ele não validava o conteúdo do artefato, permitindo que um agente mal-intencionado enviasse uma solicitação de pull (Pull Request) que carregasse um arquivo package.json malicioso com um script para executar código arbitrário no contexto do fluxo de trabalho privilegiado. O fluxo de trabalho docker-test-cont.yml coleta informações sobre a solicitação de pull e define rótulos dependendo do corpo da solicitação e do remetente. Se a solicitação de pull contiver um bloco markdown routes, ele define a variável de ambiente TEST CONTINUE como true.

Para versões do RSSHub anteriores ao commit 64e00e7, atualize para uma versão que inclua o commit 64e00e7 para corrigir o problema subjacente e impedir uma possível invasão do repositório por agentes mal-intencionados. Como solução alternativa temporária, considere restringir o acesso ao fluxo de trabalho docker-test-cont.yml para minimizar o risco de exploração. Evite usar o arquivo package.json no fluxo de trabalho afetado até que o problema seja resolvido.