Kerentanan pada pengendali GitHub Actions memungkinkan paket-paket di Nixpkgs disusupi.
Kerentanan telah diungkapkan pada handler GitHub Actions yang secara otomatis dipanggil saat mengirimkan permintaan tarik ke repositori paket Nixpkgs, yang digunakan dalam distribusi NixOS dan ekosistem pengelola paket Nix. Kerentanan ini memungkinkan pengguna yang tidak sah untuk mengekstrak token yang memberikan akses baca dan tulis ke kode sumber semua paket yang dihosting di Nixpkgs. Token ini memungkinkan modifikasi langsung [β¦]
