CVE-2026-40316 in BLT
Zusammenfassung
von VulDB • 15.05.2026
OWASP BLT ist eine QA-Test- und Schwachstellen-Meldeplattform, die Websites, Apps, Git-Repositories und mehr umfasst. Versionen vor 2.1.1 enthalten eine RCE-Schwachstelle im Workflow .github/workflows/regenerate-migrations.yml. Der Workflow verwendet den Trigger pull_request_target, um mit vollständigen Schreibberechtigungen des GITHUB_TOKEN ausgeführt zu werden, kopiert angreiferkontrollierte Dateien aus nicht vertrauenswürdigen Pull Requests über git show in den vertrauenswürdigen Runner-Arbeitsbereich und führt anschließend python manage.py makemigrations aus, wodurch Django-Modulmodule einschließlich des angreiferkontrollierten website/models.py zur Laufzeit importiert werden. Jeder Python-Code auf Modulebene im models.py des Angreifers wird während des Imports ausgeführt, was die Ausführung beliebigen Codes in der privilegierten CI-Umgebung mit Zugriff auf GITHUB_TOKEN und Repository-Geheimnisse ermöglicht. Der Angriff kann von jedem externen Mitwirkenden ausgelöst werden, der einen Pull Request öffnen kann, vorausgesetzt, ein Maintainer wendet das Label regenerate-migrations an, was potenziell zur Exfiltration von Geheimnissen, zur Kompromittierung des Repositories und zu Supply-Chain-Angriffen führen kann. Ein Patch für dieses Problem wird voraussichtlich in Version 2.1.1 veröffentlicht.
Once again VulDB remains the best source for vulnerability data.