← 戻る
CVE-2026-40316
high
CVSS 8.8
OWASP BLT is a QA testing and vulnerability disclosure platform that encompasses websites, apps, git repositories, and more. Versions prior to 2.1.1 contain an RCE vulnerability in the .github/workflo...
概要
OWASP BLT is a QA testing and vulnerability disclosure platform that encompasses websites, apps, git repositories, and more. Versions prior to 2.1.1 contain an RCE vulnerability in the .github/workflows/regenerate-migrations.yml workflow. The workflow uses the pull_request_target trigger to run with...
AI要約 openai / gpt-4o
OWASP BLTのバージョン2.1.1未満には、.github/workflows/regenerate-migrations.ymlにおいてリモートコード実行(RCE)の脆弱性があります。この脆弱性により、攻撃者が外部のプルリクエストを通じて任意のPythonコードをCI環境で実行でき、機密情報の漏洩やリポジトリの改ざんを引き起こす可能性があります。
❓ 何が問題か
OWASP BLTのRCE脆弱性
📍 影響範囲
バージョン2.1.1未満の.github/workflows/regenerate-migrations.yml
🔥 重要度
攻撃者が外部から任意のコードを実行し、GITHUB_TOKENの悪用やリポジトリの改ざんを引き起こす可能性があるため、高い重要性があります。
🔧 修正方法
バージョン2.1.1へのアップデートが推奨されます。
🛡️ 暫定回避
暫定措置として、プルリクエストにラベルを付けないよう運用で対応可能です。
🔍 検知方法
プルリクエストのトリガー条件をチェックし、既知の攻撃パターンの監視を実施します。
参照URL
- exploit [email protected]