Project Zero รายงานถึงช่องโหว่ของฟีเจอร์ GitHub Action ที่มีฟีเจอร์ Workflow เปิดให้ runner รับคำสั่งเพิ่มเติมจากเอาท์พุตของโปรแกรมใดๆ ใน Action เปิดทางให้แฮกเกอร์ใส่เอาท์พุตมุ่งร้ายได้

แม้ว่า Workflow จะรับคำสั่งได้จำกัด แต่มีสองคำสั่งได้แก่ add-path และ set-env ที่สามารถแก้ไขค่าตัวแปร environment ได้ ทำให้คนร้ายแก้ไขค่าตัวแปรเพื่อโจมตีสคริปต์ใน Action ได้

หลัง Project Zero แจ้งเตือนช่องโหว่นี้ไปตั้งแต่กลางปีที่ผ่านมา GitHub ออกประกาศว่าจะถอนฟีเจอร์ add-path และ set-env ออกจาก Action Workflow และออกอัพเดต runner ที่จะเตือนว่ามีการใช้ฟีเจอร์นี้ แต่ยังไม่ปิดฟีเจอร์นี้ไปทั้งหมด

หลังครบ 90 วันทาง Project Zero ยืดระยะเวลาให้ผู้ใช้ติดตั้ง runner ใหม่เป็นเวลา 14 วันจึงเปิดเผยช่องโหว่ โดยสถานะตอนนี้แพตช์ใหม่จะเตือนให้ผู้ใช้ระวังการใช้ฟีเจอร์ที่อันตรายเท่านั้้น ทำให้นักพัฒนาที่ใช้ฟีเจอร์นี้ควรตรวจสอบว่าสคริปต์ที่เปิดใช้ Workflow มีการรับค่าอินพุตจากแหล่งที่อันตราย เช่น เว็บภายนอก หรือไม่

ที่มา - Project Zero