Atentie! Vulnerabilitate critica descoperita in GitHub Action tj-actions/changed-files (CVE-2025-30066)
3/38450
calendar_month 30 Mar 2025, 20:10

O vulnerabilitate grava afecteaza GitHub Action tj-actions/changed-files, punand in pericol securitatea fluxurilor de lucru din GitHub. Identificata ca CVE-2025-30066, aceasta bresa permite atacatorilor sa acceseze informatii sensibile prin jurnalizarea datelor compromise, ne informeaza Directoratul National de Securitate Cibernetica.

Ce trebuie sa stii despre vulnerabilitate?

Aceasta afecteaza versiunile v1 pana la v45.0.7 ale tj-actions/changed-files, care au fost manipulate de actori malitiosi pentru a include cod periculos. Exploatarea vulnerabilitatii poate duce la extragerea de date confidentiale si compromiterea securitatii organizatiilor care utilizeaza aceasta actiune in fluxurile lor CI/CD.

Detalii tehnice

- Metoda de atac: Codul sursa al actiunii tj-actions/changed-files a fost modificat pentru a introduce un script Python malitios. 

- Exploatarea vulnerabilitatii: Scriptul scaneaza memoria procesului "Runner.worker" pentru a detecta si extrage credentiale sensibile. 

- Impactul: Datele furate sunt scrise in jurnalele de build, permitand atacatorilor accesul la informatii critice. Scor CVSS: 8.6 (Ridicat).

Produse afectate

- tj-actions/changed-files (toate versiunile v1 - v45.0.7).

Impactul asupra securitatii

- Confidentialitate: Expunerea cheilor de acces, token-urilor si altor date sensibile. 

- Integritate: Atacatorii pot modifica workflow-urile afectate. 

- Disponibilitate: Riscul de atacuri ulterioare si posibile blocaje ale sistemelor.

Cum sa te protejezi?

- Actualizeaza imediat la versiunea 46.0.1 sau o varianta mai noua. Revizuieste workflow-urile pentru a identifica si revoca orice credentiale compromise.

- Restrictioneaza accesul la jurnale, asigurandu-te ca doar utilizatorii autorizati le pot vizualiza. Monitorizeaza activitatea pentru a detecta orice comportament suspect in sistemul CI/CD.

- Revizuieste permisiunile pentru a minimiza accesul la resursele critice.

- Aceasta vulnerabilitate demonstreaza riscurile utilizarii componentelor externe in medii de dezvoltare continua. Aplica imediat recomandarile pentru a reduce expunerea si a asigura protectia infrastructurii tale GitHub! 

Redactia hit.ro



Burse FLEX 2026-2027: Oportunitate unica pentru liceeni din Romania de a studia gratuit in SUA
Burse FLEX 2026-2027: Oportunitate unica pentru liceeni din Romania de a studia gratuit in SUA
Cum sa te pregatesti pentru primul interviu de angajare
Cum sa te pregatesti pentru primul interviu de angajare
Ora de activitate sau 5 idei de jocuri mentale pentru pisica ta
Ora de activitate sau 5 idei de jocuri mentale pentru pisica ta
Care este durata medie de viata a unui lant de drujba si de ce depinde aceasta?
Care este durata medie de viata a unui lant de drujba si de ce depinde aceasta?
Cat de devreme te poate avertiza o centrala de detectie incendiu?
Cat de devreme te poate avertiza o centrala de detectie incendiu?
De ce piesele din dezmembrari sunt o alegere inteligenta pentru camioane
De ce piesele din dezmembrari sunt o alegere inteligenta pentru camioane
Amenzi uriase pentru zgomotul din bloc: pana la 12.000 lei pentru petreceri sau renovari
Amenzi uriase pentru zgomotul din bloc: pana la 12.000 lei pentru petreceri sau renovari
Semnificatia lunii aprilie
Semnificatia lunii aprilie
Ziua Internationala a Pasarilor sarbatorita la Muzeul Antipa
Ziua Internationala a Pasarilor sarbatorita la Muzeul Antipa
Noutati
UNTOLD se extinde la Bucuresti: Arena Nationala se pregateste pentru un festival de proportii
UNTOLD se extinde la Bucuresti: Arena Nationala se pregateste pentru un festival...
Bateria solid-state vs. bateria clasica pe litiu: Viitorul energetic in mainile tale?
Bateria solid-state vs. bateria clasica pe litiu: Viitorul energetic in mainile ...
Hurry Up Tomorrow intra in cinematografe (trailer)
Hurry Up Tomorrow intra in cinematografe (trailer)
eSuperliga la Ploiesti: Mihnea Radulescu, atacantul de la Petrolul, deschide a 13-a etapa cu un super meci demonstrativ in EA FC 25
eSuperliga la Ploiesti: Mihnea Radulescu, atacantul de la Petrolul, deschide a 1...
Google Chrome: Actualizare critica pentru remedierea vulnerabilitatii CVE-2025-2783
Google Chrome: Actualizare critica pentru remedierea vulnerabilitatii CVE-2025-2...
Sondaj

Ce marca de telefon considerati ca e cea mai buna la ora actuala?