关键漏洞信息 漏洞标题 Arbitrary Code Execution via pull_request_target CI Workflow 漏洞标识符 GHSA ID: GHSA-gvh4-93cq-5xxp CVE ID: CVE-2026-22869 漏洞严重性 CVSS v3 base metrics: 10.0/10 Attack Vector: Network Attack Complexity: Low Privileges Required: None User Interaction: None Scope: Changed Confidentiality: High Integrity: High Availability: None 影响文件 (GitHub Actions) 受影响版本 补丁版本 漏洞描述 Summary: CI工作流程( )中的一个严重安全漏洞允许从具有仓库写权限的fork拉取请求中执行任意代码。攻击者可以利用这一点窃取凭据、发布评论、推送代码或创建发布。 漏洞细节 Vulnerable Workflow: 使用 触发器结合检出不受信任的PR代码。 Vulnerable CI Config: Vulnerable File: (lines 75-81) Vulnerable Event Privileges: Pull_request_target 事件运行时具有写入仓库的权限、访问仓库秘密的权限、具有提升权限的 GITHUB_TOKEN。 证明概念 (PoC) Steps: 1. 叉仓库 2. 在 中创建带有提取凭据恶意代码。 3. 创建任意 文件触发工作流程。 4. 向第三方 开发一个PR。 5. CI工作流程将执行带有写权限的恶意脚本。 PoC PR: #836 PoC Impact: - 执行CI环境中的任意JavaScript代码。 - 提取Git身份验证头。 - 使用凭据对PR进行评论。 - 将数据泄露到外部服务器。 影响 Severity: High Impact: 1. 窃取凭据。 2. 修改仓库内容。 3. 供应链攻击。 4. 数据泄露。 提交修复 Fix: #837