CVE-2026-27941: Kritische Sicherheitslücke in OpenLIT durch fehlerhafte GitHub Actions
⚠️ CVE-Referenzen:
CVE-2026-27941
Zusammenfassung
Vor Version 1.37.1 des Open-Source-Projekts OpenLIT für KI-Engineering enthielten dessen GitHub-Workflows eine kritische Sicherheitslücke. Durch Missbrauch des `pull_request_target`-Events konnten Angreifer aus Forks Remote-Code-Ausführung und den Zugriff auf sensible Geheimnisse wie API-Schlüssel erlangen. Die Entwickler haben das Problem in Version 1.37.1 behoben.
Openlit - Openlit - CRITICAL - CVE-2026-27941.
OpenLIT is an open source platform for AI engineering. Prior to version 1.37.1, several GitHub Actions workflows in OpenLIT's GitHub repository use the `pull_request_target` event while checking out and executing untrusted code from forked pull requests. These workflows run with the security context of the base repository, including a write-privileged `GITHUB_TOKEN` and numerous sensitive secrets (API keys, database/vector store tokens, and a Google Cloud service account key). Version 1.37.1 contains a fix.
Quelle: securityvulnerability.io