check-spelling — это действие GitHub, которое обеспечивает проверку орфографии CI. В уязвимых версиях и для репозитория с включенным [дейст…
check-spelling — это действие GitHub, которое обеспечивает проверку орфографии CI. В уязвимых версиях и для репозитория с включенным [действием check-spelling](https://github.com/marketplace/actions/check-spelling), которое запускается при `pull_request_target` (или `schedule`), злоумышленник может отправить специально созданный запрос на включение внесенных изменений, который приведет к раскрытию `GITHUB_TOKEN`. С помощью `GITHUB_TOKEN` можно отправлять коммиты в репозиторий, минуя стандартные процессы утверждения. Затем коммиты в репозиторий могут украсть любые/все секреты, доступные репозиторию. В качестве обходного пути пользователи могут либо: [Отключить рабочий процесс](https://docs.github.com/en/actions/managing-workflow-runs/disabling-and-enabling-a-workflow), пока вы не исправите все ветки, либо установить для репозитория [Разрешить определенные действия](https://docs.github.com/en/github/administering-a-repository/managing-repository-settings/disabling-or-limiting-github-actions-for-a-repository#allowing-specific-actions-to-run). check-spelling не является проверенным создателем и, конечно, не будет им в ближайшее время. Затем вы можете явно добавить другие действия, которые использует ваш репозиторий. Установите для репозитория [Разрешения рабочего процесса](https://docs.github.com/en/github/administering-a-repository/managing-repository-settings/disabling-or-limiting-github-actions-for-a-repository#setting-the-permissions-of-the-github_token-for-your-repository) значение `Разрешение на чтение содержимого репозитория`. Рабочие процессы, использующие `check-spelling/check-spelling@main`, получат исправление автоматически. Рабочим процессам, использующим закрепленный sha или помеченную версию, необходимо будет изменить затронутые рабочие процессы для всех веток репозитория на последнюю версию. Пользователи могут проверить, кто и какие запросы на включение внесенных изменений запускали действие, посмотрев действие spelling.yml на вкладке «Действия» своих репозиториев, например, https://github.com/check-spelling/check-spelling/actions/workflows/spelling.yml — вы можете отфильтровать запросы на включение внесенных изменений, добавив ?query=event%3Apull_request_target, например, https://github.com/check-spelling/check-spelling/actions/workflows/spelling.yml?query=event%3Apull_request_target.
Продукт записывает конфиденциальные сведения в файл журнала.
https://cwe.mitre.org/data/definitions/532.html →Открыть в коллекции CWE →Злоумышленник направляет случайные, некорректные или иным образом неожиданные сообщения целевому приложению и наблюдает за возвращаемыми журналами или сообщениями об ошибках приложения. Злоумышленник изначально не знает, как цель реагирует на отдельные сообщения, однако, перебирая большое количество вариантов сообщений, он может найти вариант, вызывающий желаемое поведение. В данной атаке целью фаззинга является наблюдение за журналом и сообщениями об ошибках приложения, хотя фаззинг цели иногда также может приводить к переходу цели в нестабильное состояние и её аварийному завершению.
https://capec.mitre.org/data/definitions/215.html →Открыть в коллекции CAPEC →