headless 曰く、

GoogleのProject Zeroは2日、GitHubのリポジトリ内でソフトウェア開発ワークフローを自動化できるGitHub Actionsの脆弱性を公表した(Issue 2070、 Neowinの記事)。

脆弱性が見つかったのはGitHub Actionsのワークフローコマンドの実行に関するものだ。Actionsのランナーは実行されたアクションのSTDOUT出力をパースし、ワークフローコマンドを探して実行する。そのため、信頼されていないコンテンツを出力するアクションにはインジェクション攻撃を可能にする脆弱性がある。たとえば、環境変数を設定する「set-env」や、パスを追加する「add-path」といったワークフローコマンドに悪意のあるパラメーターが指定されると、その後のワークフロー実行時にリモートからコードが実行される可能性があるという。

Project Zeroは7月21日に脆弱性をGitHubへ報告。GitHub側は10月1日にCVE-2020-15228としてアドバイザリーを公開し、脆弱性のあるコマンドの非推奨化を発表した。報告から90日後の公表期限は10月19日だったが、GitHubは脆弱性のあるコマンドを無効化するために14日間の猶予期間追加を要請し、期限は11月2日となった。GitHubはさらに48時間の追加を求めたが、問題の修正が目的ではなかったためProject Zeroは認めずに脆弱性を公表したとのことだ。