Vulnerabilidad en phpgt/Dom (CVE-2025-46820)

phpgt/Dom proporciona acceso a las API modernas de DOM. Las versiones de phpgt/Dom anteriores a la 4.1.8 exponen el token GITHUB_TOKEN en el artefacto de ejecución del flujo de trabajo de Dom. El archivo de flujo de trabajo ci.yml utiliza actions/upload-artifact@v4 para cargar el artefacto de compilación. Este artefacto es un archivo zip del directorio actual, que incluye el archivo .git/config generado automáticamente que contiene el token GITHUB_TOKEN de la ejecución. Dado que el artefacto se puede descargar antes de que finalice el flujo de trabajo, un atacante puede extraer el token del artefacto durante unos segundos y usarlo con la API de GitHub para enviar código malicioso o reescribir las confirmaciones de versiones en el repositorio. Cualquier usuario intermedio del repositorio puede verse afectado, pero el token solo debería ser válido mientras dure la ejecución del flujo de trabajo, lo que limita el tiempo de explotación. La versión 4.1.8 soluciona el problema.