CVE-2026-45131
CriticalCVSS 10.0Summary
CloudPirates Open Source Helm Charts zawierał lukę, w której workflow GitHub Actions (pull-request.yaml) wykonywał kod kontrolowany przez atakującego z forków pull requestów w kontekście z uprawnieniami, co prowadziło do ujawnienia sekretów repozytorium, w tym poświadczeń i tokenów Docker Hub, bez potrzeby zatwierdzenia przez maintainerów. Problem został naprawiony w commicie fcf9302.
Risk Assessment
Ujawnienie sekretów repozytorium może prowadzić do nieautoryzowanego dostępu do zasobów i usług, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację do wersji zawierającej poprawkę w commicie fcf9302 oraz przegląd i rotację wszystkich ujawnionych sekretów.
Original NVD description (English source)
CloudPirates Open Source Helm Charts is a collection of Helm charts. Prior to commit fcf9302, a GitHub Actions workflow (pull-request.yaml) executes attacker-controlled code from fork pull requests in a privileged context, exposing repository secrets including Docker Hub credentials and tokens without requiring maintainer approval. This issue has been patched via commit fcf9302.

