CVE-2026-27941
CriticalSummary
OpenLIT to otwartoźródłowa platforma do inżynierii AI. W wersjach przed 1.37.1, kilka workflow GitHub Actions w repozytorium OpenLIT używało zdarzenia `pull_request_target`, co pozwalało na wykonywanie nieufnego kodu z forkowanych pull requestów z uprawnieniami repozytorium bazowego.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do wrażliwych danych, takich jak klucze API czy tokeny dostępu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację do wersji 1.37.1 lub nowszej, aby usunąć tę podatność oraz przegląd i ograniczenie uprawnień do wrażliwych danych w repozytorium.
Original NVD description (English source)
OpenLIT is an open source platform for AI engineering. Prior to version 1.37.1, several GitHub Actions workflows in OpenLIT's GitHub repository use the `pull_request_target` event while checking out and executing untrusted code from forked pull requests. These workflows run with the security context of the base repository, including a write-privileged `GITHUB_TOKEN` and numerous sensitive secrets (API keys, database/vector store tokens, and a Google Cloud service account key). Version 1.37.1 contains a fix.

