V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2021-32724
CVE
КритическийПодтвержденаЭксплойт есть

check-spelling — это действие GitHub, которое обеспечивает проверку орфографии CI. В уязвимых версиях и для репозитория с включенным [дейст…

CVSS
9.9
Критический
EPSS
0.02
p80
Опубликовано
2021-01-01
Обновлено
2021-01-01
Описание

check-spelling — это действие GitHub, которое обеспечивает проверку орфографии CI. В уязвимых версиях и для репозитория с включенным [действием check-spelling](https://github.com/marketplace/actions/check-spelling), которое запускается при `pull_request_target` (или `schedule`), злоумышленник может отправить специально созданный запрос на включение внесенных изменений, который приведет к раскрытию `GITHUB_TOKEN`. С помощью `GITHUB_TOKEN` можно отправлять коммиты в репозиторий, минуя стандартные процессы утверждения. Затем коммиты в репозиторий могут украсть любые/все секреты, доступные репозиторию. В качестве обходного пути пользователи могут либо: [Отключить рабочий процесс](https://docs.github.com/en/actions/managing-workflow-runs/disabling-and-enabling-a-workflow), пока вы не исправите все ветки, либо установить для репозитория [Разрешить определенные действия](https://docs.github.com/en/github/administering-a-repository/managing-repository-settings/disabling-or-limiting-github-actions-for-a-repository#allowing-specific-actions-to-run). check-spelling не является проверенным создателем и, конечно, не будет им в ближайшее время. Затем вы можете явно добавить другие действия, которые использует ваш репозиторий. Установите для репозитория [Разрешения рабочего процесса](https://docs.github.com/en/github/administering-a-repository/managing-repository-settings/disabling-or-limiting-github-actions-for-a-repository#setting-the-permissions-of-the-github_token-for-your-repository) значение `Разрешение на чтение содержимого репозитория`. Рабочие процессы, использующие `check-spelling/check-spelling@main`, получат исправление автоматически. Рабочим процессам, использующим закрепленный sha или помеченную версию, необходимо будет изменить затронутые рабочие процессы для всех веток репозитория на последнюю версию. Пользователи могут проверить, кто и какие запросы на включение внесенных изменений запускали действие, посмотрев действие spelling.yml на вкладке «Действия» своих репозиториев, например, https://github.com/check-spelling/check-spelling/actions/workflows/spelling.yml — вы можете отфильтровать запросы на включение внесенных изменений, добавив ?query=event%3Apull_request_target, например, https://github.com/check-spelling/check-spelling/actions/workflows/spelling.yml?query=event%3Apull_request_target.

Теги · CWE
CWE-532
CAPEC-215
Затронутые продукты
Check-spelling < 0.0.19
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Хронология
2021-01-01
Опубликована
2021-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.023 · p80
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2021-32724
github-poc · https://github.com/MaximeSchlegel/CVE-2021-32724-Target
Enterprise
Затронутые продукты
ПродуктВендорСтатус
check-spelling*Отслеживается
Источники данных
CVE
Связанные уязвимости