CVE-2025-55192

Nome do Software Vulnerável e Versões Afetadas: HomeAssistant-Tapo-Control versões anteriores ao commit 2a3b80f

Descrição: O HomeAssistant-Tapo-Control, um componente que oferece controle para câmeras Tapo dentro do Home Assistant, continha uma vulnerabilidade de injeção de código no workflow do GitHub Actions localizado em .github/workflows/issues.yml. A vulnerabilidade decorreu da inserção direta de conteúdo controlado pelo usuário, proveniente do corpo da issue (github.event.issue.body), em um condicional Bash sem a devida sanitização. Isso permitiu que um usuário malicioso do GitHub elaborasse um corpo de issue capaz de executar comandos arbitrários no runner do GitHub Actions com privilégios elevados durante a criação da issue. O impacto limita-se ao ambiente de CI/CD do repositório, podendo expor potencialmente o conteúdo do repositório ou secrets do GitHub Actions.

Recomendações: Desabilite o workflow afetado (issues.yml). Substitua a comparação Bash insegura por um grep seguro entre aspas ou por uma verificação de expressão pura do GitHub Actions. Garanta permissões mínimas nos workflows (permissions: block) para reduzir o impacto potencial.