آسیبپذیری CVE-2026-1699 با شدت 10 مربوط به پیکربندی نادرست یک گردشکار GitHub Actions در مخزن وبسایت Eclipse Theia است. این گردشکار از رویداد pull_request_target استفاده میکرد و همزمان کد درخواست ادغام غیرقابلاعتماد را اجرا مینمود. در نتیجه، هر کاربر GitHub میتوانست کد دلخواه را در محیط CI اجرا کند. این اجرا به اسرار مخزن و توکن GitHub با سطح دسترسی بالا دسترسی داشت. مهاجم میتوانست اسرار را استخراج کرده، بستههای مخرب منتشر کند یا محتوای وبسایت رسمی را تغییر دهد. این نقص میتوانست منجربه بهخطر افتادن کامل زنجیره تأمین نرمافزار شود.
- مخزن Eclipse Theia Website در GitHub
- گردشکارهای GitHub Actions مرتبط با این مخزن که از رویداد pull_request_target استفاده میکنند
- هر سامانه CI/CD یا Pipeline که به این مخزن متصل باشد و Workflow آسیبپذیر را اجرا کند
- پیکربندی GitHub Actions را اصلاح کرده و از pull_request بهجای pull_request_target استفاده کنید.
- محدود کردن دسترسی Secrets و کاهش سطح دسترسی GITHUB_TOKEN به کمترین مورد لازم.
- چرخش Rotate) Secrets) و توکنها در صورت اجرای workflow آسیبپذیر قبلی.
- فعالسازی Branch Protection و الزام به بازبینی قبل از ادغام PRها.
- افزودن Filtered Workflow Execution برای کدهای ناشناس یا اطمینان از عدم اجرای کد غیرمجاز.
- استفاده از تست امنیت گردشکار CI/CD قبل از اجرای آن در محیطهای Production.
- نظارت و مانیتورینگ لاگها برای شناسایی اجرای غیرمجاز workflowها.
- 21