Vulnerabilidad en github-action-merge-dependabot (CVE-2022-29220)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
31/05/2022
Última modificación:
15/06/2022
Descripción
github-action-merge-dependabot es una acción que aprueba y fusiona automáticamente las peticiones de pull (PR) de dependabot. En versiones anteriores a 3.2.0, github-action-merge-dependabot no comprueba si un commit creado por dependabot está verificado con la clave GPG adecuada. Sólo se presenta comprobación si el actor es establecido como "dependabot[bot]" para determinar si el PR es un PR legítimo. Teóricamente, un propietario de una acción aparentemente válida y legítima en la tubería puede comprobar si el PR es creado por dependabot y si su propia acción presenta suficientes permisos para modificar el PR en la tubería. Si es así, pueden modificar el PR añadiendo un segundo commit aparentemente válido y legítimo al PR, ya que pueden establecer arbitrariamente el nombre de usuario y el correo electrónico en los commits en git. Dado que el bot sólo comprueba si el actor es válido, pasaría los cambios maliciosos y fusionaría el PR automáticamente, sin que los mantenedores del proyecto dieran cuenta. Probablemente no sería posible determinar de dónde proviene el commit malicioso, ya que sólo diría "dependabot[bot]" y la dirección de correo electrónico correspondiente. La versión 3.2.0 contiene un parche para este problema
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fastify:github_action_merge_dependabot:*:*:*:*:*:*:*:* | 3.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página