CVE-2025-46820

Nome do Software Vulnerável e Versões Afetadas Versões do phpgt/Dom anteriores à 4.1.8

Descrição A vulnerabilidade expõe o GITHUB TOKEN no artefato de execução do workflow Dom. Isso ocorre porque o arquivo de workflow ci.yml usa actions/upload-artifact@v4 para fazer upload do artefato de build, que é um zip do diretório atual e inclui o arquivo .git/config gerado automaticamente contendo o GITHUB TOKEN da execução. Um atacante pode extrair o token do artefato e usá-lo com a GitHub API para realizar push de código malicioso ou reescrever commits de release no repositório. O token é válido apenas durante a duração da execução do workflow, limitando o tempo durante o qual a exploração poderia ocorrer. Usuários downstream do repositório podem ser afetados.

Recomendações Para versões anteriores à 4.1.8, atualize para a versão 4.1.8 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à ação actions/upload-artifact@v4 no arquivo de workflow ci.yml até que a atualização seja aplicada. Evite usar o GITHUB TOKEN no workflow afetado até que a vulnerabilidade seja resolvida.