ossf allstar vor 0.0.0-20250721181116-e004ecb540d6 Reviewbot Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als kritisch klassifizierte Schwachstelle in ossf allstar entdeckt. Dabei betrifft es einen unbekannter Codeteil der Komponente Reviewbot. Durch das Beeinflussen mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2025-61926. Der Angriff kann über das Netzwerk passieren. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine kritische Schwachstelle wurde in ossf allstar entdeckt. Betroffen davon ist ein unbekannter Prozess der Komponente Reviewbot. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-453. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Allstar is a GitHub App to set and enforce security policies. In versions prior to 4.5, a vulnerability in Allstar’s Reviewbot component caused inbound webhook requests to be validated against a hard-coded, shared secret. The value used for the secret token was compiled into the Allstar binary and could not be configured at runtime. In practice, this meant that every deployment using Reviewbot would validate requests with the same secret unless the operator modified source code and rebuilt the component - an expectation that is not documented and is easy to miss. All Allstar releases prior to v4.5 that include the Reviewbot code path are affected. Deployments on v4.5 and later are not affected. Those who have not enabled or exposed the Reviewbot endpoint are not exposed to this issue.Auf github.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 04.10.2025 als CVE-2025-61926 statt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 0.0.0-20250721181116-e004ecb540d6 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2025-33544) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Hersteller
Name
Webseite
- Produkt: https://github.com/ossf/allstar/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-453
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: allstar 0.0.0-20250721181116-e004ecb540d6
Timeline
04.10.2025 CVE zugewiesen10.10.2025 Advisory veröffentlicht
10.10.2025 VulDB Eintrag erstellt
11.10.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-33f4-mjch-7fpr
Status: Bestätigt
CVE: CVE-2025-61926 (🔒)
GCVE (CVE): GCVE-0-2025-61926
GCVE (VulDB): GCVE-100-327818
EUVD: 🔒
Eintrag
Erstellt: 10.10.2025 08:30Aktualisierung: 11.10.2025 06:07
Anpassungen: 10.10.2025 08:30 (67), 10.10.2025 10:28 (1), 11.10.2025 06:07 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.