CVE-2025-32958
KrytyczneStreszczenie
Adept to język ogólnego przeznaczenia. Przed poprawką a1a41b7, plik workflow remoteBuild.yml używał actions/upload-artifact@v4 do przesyłania artefaktu mac-standalone, który zawierał plik .git/config z tokenem GITHUB_TOKEN, co stwarzało ryzyko jego wycieku.
Ocena ryzyka
Atakujący mógł pobrać artefakt przed zakończeniem workflow, co pozwalało na wykorzystanie tokena do wprowadzenia złośliwego kodu lub modyfikacji commitów w repozytorium AdeptLanguage/Adept.
Rekomendacja
Zaleca się aktualizację do poprawki a1a41b7 oraz monitorowanie użycia tokenów GITHUB_TOKEN w celu zminimalizowania ryzyka ich wycieku.
Oryginalny opis (angielski, źródło NVD)
Adept is a language for general purpose programming. Prior to commit a1a41b7, the remoteBuild.yml workflow file uses actions/upload-artifact@v4 to upload the mac-standalone artifact. This artifact is a zip of the current directory, which includes the automatically generated .git/config file containing the run's GITHUB_TOKEN. Seeing as the artifact can be downloaded prior to the end of the workflow, there is a few seconds where an attacker can extract the token from the artifact and use it with the Github API to push malicious code or rewrite release commits in the AdeptLanguage/Adept repository. This issue has been patched in commit a1a41b7.

