CVE-2026-48546

Nome do Software Vulnerável e Versões Afetadas KanaDojo versões anteriores a 0.1.18

Descrição Uma fuga de sandbox permite a execução remota de código com privilégios totais do executor do GitHub Actions, incluindo acesso à variável AUTOMATION PR TOKEN. O problema ocorre no fluxo de trabalho issue-auto-respond.yml devido à passagem explícita da função global require() para um contexto de sandbox vm.runInNewContext() do Node.js. Um invasor pode explorar isso enviando um pull request que modifique o arquivo messages.cjs para importar módulos arbitrários do Node.js, ignorando assim as restrições do sandbox.

Recomendações Atualize para a versão 0.1.18 ou posterior.