CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27941

Critical
Published: Translated: NVD NIST

Summary

OpenLIT to otwartoźródłowa platforma do inżynierii AI. W wersjach przed 1.37.1, kilka workflow GitHub Actions w repozytorium OpenLIT używało zdarzenia `pull_request_target`, co pozwalało na wykonywanie nieufnego kodu z forkowanych pull requestów z uprawnieniami repozytorium bazowego.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do wrażliwych danych, takich jak klucze API czy tokeny dostępu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację do wersji 1.37.1 lub nowszej, aby usunąć tę podatność oraz przegląd i ograniczenie uprawnień do wrażliwych danych w repozytorium.

Original NVD description (English source)

OpenLIT is an open source platform for AI engineering. Prior to version 1.37.1, several GitHub Actions workflows in OpenLIT's GitHub repository use the `pull_request_target` event while checking out and executing untrusted code from forked pull requests. These workflows run with the security context of the base repository, including a write-privileged `GITHUB_TOKEN` and numerous sensitive secrets (API keys, database/vector store tokens, and a Google Cloud service account key). Version 1.37.1 contains a fix.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS