Vulnerabilidad en RSSHub (CVE-2024-47179)

RSSHub es una red RSS. Antes de el commit 64e00e7, el flujo de trabajo `docker-test-cont.yml` de RSSHub era vulnerable al envenenamiento de artefactos, lo que podría haber llevado a una toma de control total del repositorio. Los usuarios posteriores de RSSHub no son vulnerables a este problema y el commit 64e00e7 solucionó el problema subyacente e hizo que el repositorio ya no fuera vulnerable. El flujo de trabajo `docker-test-cont.yml` se activa cuando el flujo de trabajo `PR - Docker build test` se completa correctamente. Luego, recopila información sobre la solicitud de extracción que activó el flujo de trabajo desencadenante y establece algunas etiquetas según el cuerpo de la solicitud de extracción y el remitente. Si la solicitud de extracción también contiene un bloque de rebajas `routes`, establecerá la variable de entorno `TEST_CONTINUE` en `true`. Luego, el flujo de trabajo descarga y extrae un artefacto cargado por el flujo de trabajo desencadenante que se espera que contenga un solo archivo `rsshub.tar.zst`. Sin embargo, antes de el commit 64e00e7, no se validó y el contenido se extrajo en la raíz del espacio de trabajo anulando cualquier archivo existente. Dado que el contenido del artefacto no se validó, es posible que un actor malintencionado envíe una solicitud de extracción que cargue, no solo la imagen de Docker comprimida `rsshub.tar.zst`, sino también un archivo `package.json` malicioso con un script para ejecutar código arbitrario en el contexto del flujo de trabajo privilegiado. A partir de el commit 64e00e7, se ha abordado este escenario y el repositorio RSSHub ya no es vulnerable.