Ang isang kahinaan sa tagapangasiwa ng GitHub Actions ay nagpapahintulot sa mga pakete sa Nixpkgs na makompromiso.
Ang mga kahinaan ay isiniwalat sa mga tagapangasiwa ng GitHub Actions na awtomatikong na-invoke kapag nagsusumite ng mga pull request sa Nixpkgs package repository, na ginagamit sa pamamahagi ng NixOS at sa Nix package manager ecosystem. Ang kahinaan ay nagbigay-daan sa isang hindi awtorisadong user na kumuha ng token na nagbibigay ng read at write na access sa source code ng lahat ng package na naka-host sa Nixpkgs. Ang token na ito ay nagpapahintulot sa direktang pagbabago ng [β¦]
