漏洞关键信息 1. 漏洞概述 漏洞类型: 远程代码执行 (Remote Code Execution, RCE) 和秘密曝光 (Secret Exposure) 原因: 误用 事件在 GitHub Actions 工作流中 CVE ID: CVE-2026-27941 CVSS v3 Score: 10.0 (严重) 受影响的库版本: f0fc8fa9f2a14eff70750aa81005076fe96e861b 修复版本: 尚无 2. 漏洞细节 攻击面: 非信任的拉请求 (Pull Request, PR) 代码 利用方式: 攻击者可以创建一个恶意的 PR,从而在 GitHub Actions runner 中实现远程代码执行,窃取所有可用的秘密,并且可能: - 完全破坏存储库 - 访问或修改关联的 GCP 项目的云资源 3. 受影响的工作流 Pylint 工作流: Python 测试工作流: OpenLIT Docker 测试工作流: 4. 建议修复措施 1. 停止在非信任代码中使用 。 2. 当有可用秘密时,不要签出 。 3. 如果需要保留 ,则需要秘密和签出。 4. 限制 权限。 5. 审计所有工作流和分支。 5. 影响 窃取存储库秘密,包括多个 AI/LLM 提供商的 API 密钥、向量数据库和基础设施令牌、ASTRA DB 凭据、GCP 服务帐户密钥和项目 ID 等。 使用 GCP 服务帐户访问和修改 GCP 项目中的数据和服务、根据 IAM 权限部署或修改基础设施。 使用 修改存储库的内容、创建标签/发布并进行供应链攻击。 6. PoC 攻击者可以创建恶意的 Python 代码片段,以注入环境变量、运行任意命令等。