Vulnerabilidad en dedupe (CVE-2025-54430)

dedupe es una librería de Python que utiliza aprendizaje automático para realizar coincidencias difusas, deduplicación y resolución de entidades rápidamente en datos estructurados. Antes del commit 3f61e79, se identificó una vulnerabilidad crítica en el flujo de trabajo .github/workflows/benchmark-bot.yml, donde se puede activar un issue_comment mediante el cuerpo @benchmark. Este flujo de trabajo es susceptible de explotación, ya que extrae ${{ github.event.issue.number }}, que corresponde a la rama del PR manipulada por actores potencialmente maliciosos, y donde se puede ejecutar código no confiable. La ejecución de código no confiable puede provocar la exfiltración de GITHUB_TOKEN, que en este flujo de trabajo tiene permisos de escritura en la mayoría de los ámbitos, en particular en el de contenido, y podría provocar la toma de control del repositorio. Esto se solucionó con el commit 3f61e79.