Er is een ernstige kwetsbaarheid ontdekt in Folo, bekend als CVE-2025-53546. Deze zwakte stelt aanvallers in staat om gevoelige informatie zoals de GITHUB_TOKEN te stelen via het gebruik van pull_request_target in workflows. De CVE-score is hoog, met een base score van 9.1, wat betekent dat deze kwetsbaarheid gemakkelijk via netwerken kan worden uitgebuit zonder vereiste gebruikersinteractie.
Een aanvaller kan via deze kwetsbaarheid onopgemerkt toegang krijgen tot de repository, met volledige schrijfbevoegdheden. Dit betekent dat een onbevoegd persoon schadelijke code kan toevoegen of de repository kan overnemen zonder dat de eigenaar hiervan op de hoogte is.
Overzicht
Folo, een platform dat feed-inhoud organiseert, bevat een kwetsbaarheid waarbij .github/workflows/auto-fix-lint-format-commit.yml kan worden misbruikt door externe partijen. Hierdoor wordt onbetrouwbare code uitgevoerd met uitgebreide toegang tot geheimen, zoals de GITHUB_TOKEN, wat leidt tot een mogelijk volledige overname van de repository.
Versie: < 585c6a591440cd39f92374230ac5d65d7dd23d6a
Aanbevelingen
- Update onmiddellijk naar de vastgelegde versie:
585c6a591440cd39f92374230ac5d65d7dd23d6aom de kwetsbaarheid te patchen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53546?
Het is een kritieke kwetsbaarheid die het mogelijk maakt voor aanvallers om gevoelige gegevens te stelen en mogelijk de repository over te nemen door misbruik te maken van het pull_request_target mechanisme in GitHub Workflows.
Welke systemen zijn kwetsbaar voor CVE-2025-53546?
Alle Folo-installaties met een versie ouder dan 585c6a591440cd39f92374230ac5d65d7dd23d6a zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is opgelost in commit 585c6a591440cd39f92374230ac5d65d7dd23d6a.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de GITHUB_TOKEN exfiltreren en potentieel volledige controle over de repository krijgen, inclusief het recht om inhoud te schrijven.
