CVE-2026-40313

Nome do Software Vulnerável e Versões Afetadas PraisonAI versões anteriores a 4.5.140

Descrição Os fluxos de trabalho do GitHub Actions estão suscetíveis a um ataque ArtiPACKED, que é um vetor de vazamento de credenciais. Isso ocorre quando o actions/checkout é usado sem definir persist-credentials: false. Por padrão, essa ação grava o GITHUB TOKEN e, às vezes, o ACTIONS RUNTIME TOKEN no arquivo .git/config. Se etapas subsequentes do fluxo de trabalho fizerem o upload de artefatos, esses tokens podem ser incluídos. Como o repositório é público, usuários não autorizados podem baixar esses artefatos para extrair os tokens, permitindo potencialmente a inserção de código malicioso, a contaminação de versões e pacotes PyPI/Docker, o roubo de segredos do repositório e a execução de um comprometimento total da cadeia de suprimentos. O problema afeta vários arquivos em .github/workflows/ e .github/actions/.

Recomendações Atualizar para a versão 4.5.140. Definir persist-credentials: false na ação actions/checkout para evitar o vazamento de tokens.