CVE-2025-32953

Nome do Software Vulnerável e Versões Afetadas Versões 1.38 e anteriores do z80pack

Descrição O problema diz respeito à exposição de informações sensíveis, especificamente o GITHUB TOKEN, no artefato de execução do workflow. Isso ocorre porque o arquivo de workflow makefile-ubuntu.yml utiliza actions/upload-artifact@v4 para enviar o artefato z80pack-ubuntu, que é um arquivo zip do diretório atual e inclui o arquivo .git/config gerado automaticamente contendo o GITHUB TOKEN da execução. Um atacante pode extrair o token do artefato e utilizá-lo com a API do Github para enviar código malicioso ou reescrever commits de release no repositório.

Recomendações Para as versões 1.38 e anteriores, atualize para uma versão que inclua a correção do commit bd95916 para prevenir a exposição do GITHUB TOKEN. Como medida temporária, considere restringir o acesso ao arquivo de workflow makefile-ubuntu.yml até que o problema seja resolvido. Evite utilizar a ação actions/upload-artifact@v4 no arquivo de workflow makefile-ubuntu.yml até que o problema seja resolvido.