CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-54430

Critical
Published: Translated: NVD NIST

Summary

W bibliotece dedupe, używanej do dopasowywania i deduplikacji danych, zidentyfikowano krytyczną podatność w workflow .github/workflows/benchmark-bot.yml. Wykorzystując komentarz do problemu z odpowiednim ciałem, atakujący mogą uruchomić nieufny kod, co prowadzi do wycieku GITHUB_TOKEN z uprawnieniami do zapisu.

Risk Assessment

Organizacja może być narażona na przejęcie repozytoriów, ponieważ wyciek GITHUB_TOKEN umożliwia dostęp do wrażliwych danych i operacji w repozytorium. Potencjalni atakujący mogą manipulować kodem, co stwarza poważne zagrożenie dla bezpieczeństwa.

Recommendation

Zaleca się aktualizację biblioteki dedupe do wersji zawierającej poprawkę z commita 3f61e79 oraz przegląd i ograniczenie uprawnień do GITHUB_TOKEN w workflow, aby zminimalizować ryzyko wycieku.

Original NVD description (English source)

dedupe is a python library that uses machine learning to perform fuzzy matching, deduplication and entity resolution quickly on structured data. Before commit 3f61e79, a critical severity vulnerability has been identified within the .github/workflows/benchmark-bot.yml workflow, where a issue_comment can be triggered using the @benchmark body. This workflow is susceptible to exploitation as it checkout the ${{ github.event.issue.number }}, which correspond to the branch of the PR manipulated by potentially malicious actors, and where untrusted code may be executed. Running untrusted code may lead to the exfiltration of GITHUB_TOKEN, which in this workflow has write permissions on most of the scopes - in particular the contents one - and could lead to potential repository takeover. This is fixed by commit 3f61e79.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS