CVE-2026-41249

Nome do Software Vulnerável e Versões Afetadas CoreShop versões 5.0.1 até 5.1.0-beta.1

Descrição O fluxo de trabalho do GitHub Actions localizado em .github/workflows/static.yml utiliza o gatilho pull request target e realiza o checkout de código não verificado do head da pull request usando a variável ref: ${{ github.event.pull request.head.ref }}. Em seguida, o fluxo executa o script bin/console a partir deste checkout não confiável. Esta configuração permite que um invasor externo alcance a Execução Remota de Código (RCE) no executor do GitHub Actions ao enviar uma Pull Request maliciosa, cenário conhecido como Pwn Request. Como o processo é executado no contexto do repositório base, o executor tem acesso a segredos do repositório, que podem ser exfiltrados por um invasor.

Recomendações Para as versões 5.0.1 até 5.1.0-beta.1, evite realizar o checkout de código de PR não confiável (head.ref) ao usar pull request target se o código for ser compilado ou executado. Como mitigação, implemente uma arquitetura separada usando o evento workflow run: utilize o evento pull request para executar builds e testes em um sandbox não privilegiado e fazer o upload de artefatos, e então utilize o evento workflow run para baixar esses artefatos e realizar ações que exijam segredos.