Vulnerabilidad en z80pack (CVE-2025-32953)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
18/04/2025
Última modificación:
15/04/2026
Descripción
z80pack es un emulador maduro para múltiples plataformas con CPU 8080 y Z80. En la versión 1.38 y anteriores, el archivo de flujo de trabajo `makefile-ubuntu.yml` usa `actions/upload-artifact@v4` para cargar el artefacto `z80pack-ubuntu`. Este artefacto es un archivo zip del directorio actual, que incluye el archivo `.git/config` generado automáticamente con el GITHUB_TOKEN de la ejecución. Dado que el artefacto se puede descargar antes de finalizar el flujo de trabajo, hay unos segundos en los que un atacante puede extraer el token del artefacto y usarlo con la API de Github para enviar código malicioso o reescribir las confirmaciones de lanzamiento en el repositorio. Este problema se ha corregido en el commit bd95916.
Impacto
Puntuación base 3.x
8.70
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/udo-munk/z80pack/commit/1e06c2fe498ca772002b5c4f6f9e3085061e47da
- https://github.com/udo-munk/z80pack/commit/836c2e37b54f86bb4bed9e1406b67e52aa52308d
- https://github.com/udo-munk/z80pack/commit/95535987d690bd20849fbf143f267283f0e2db91
- https://github.com/udo-munk/z80pack/commit/bd9591615ae7b1e6229aa60a485447441c4a0c15
- https://github.com/udo-munk/z80pack/security/advisories/GHSA-gpjj-f76m-9x3q