CVE-2026-42603OWASP BLT是一个综合性的QA测试和漏洞披露平台。在2.1.2版本之前,该项目的GitHub Actions工作流存在严重安全配置错误。具体而言,`.github/workflows/pre-commit-fix.yaml`文件使用了具有特权的`pull_request_target`触发器,但未正确隔离代码执行环境。该工作流直接从攻击者的Fork仓库检出并执行代码,导致攻击者可通过提交恶意的Pull Request,在目标仓库的高权限上下文中执行任意命令,从而实现远程代码执行。
该漏洞的核心在于GitHub Actions中`pull_request_target`事件的不安全使用。`pull_request_target`设计初衷是允许工作流在处理来自Fork的PR时,能够访问基础仓库的Secrets和写入权限。然而,如果工作流脚本中使用`actions/checkout`检出代码时,默认或错误地引用了PR的源代码(即攻击者的分支),则会将未受信任的代码混入受信任的运行环境中。在OWASP BLT的案例中,工作流检出了攻击者的代码并执行了其中的脚本或命令。由于工作流继承了目标仓库的GITHUB_TOKEN(通常具有写权限),攻击者可以利用此漏洞篡改仓库代码、窃取敏感信息或进行供应链投毒。