CVE-2026-41414

Name of the Vulnerable Software and Affected Versions Skim (versões afetadas não especificadas)

Description O trabalho generate-files no arquivo '.github/workflows/pr.yml' extrai código de um fork controlado por um invasor e o executa por meio do comando cargo run. Esse processo permite o acesso às variáveis SKIM RS BOT PRIVATE KEY e GITHUB TOKEN (contents:write). Qualquer usuário do GitHub pode acionar essa ação ao abrir um pull request de um fork, pois não existem barreiras que impeçam a exploração.

Recommendations Aplique a correção fornecida no commit bf63404ad51985b00ed304690ba9d477860a5a75.