开源项目MITRE 和 Splunk中暴露严重漏洞

近期安全调查发现，GitHub Actions 工作流程在主要开源存储库中存在广泛漏洞，其中包括由 MITRE 和 Splunk 等知名组织维护的存储库。这些漏洞主要集中在GitHub Actions触发器的滥用上，该触发器在处理来自外部贡献者的拉取请求时授予工作流访问存储库机密和提升的权限。这种设计差异造成了一个安全盲点，恶意行为者可以利用它来获取对 API 密钥等活动。存储库维护者对于安全模型的误解导致配置无意中将关键基础设施暴露于外部威胁。目前，研究人员还在进一步调查中。