https://brdefense.center/tags/pwn-requests/Recent content in Pwn Requests on BR Defense CenterHugopt-brTue, 23 Jun 2026 14:32:29 -0300https://brdefense.center/news/github-reforca-seguranca-na-cadeia-de-suprimentos/Tue, 23 Jun 2026 14:32:29 -0300https://brdefense.center/news/github-reforca-seguranca-na-cadeia-de-suprimentos/<p>O GitHub anunciou uma atualização significativa em sua ação &lsquo;actions/checkout&rsquo; para fortalecer a segurança da cadeia de suprimentos de software, bloqueando ataques conhecidos como pwn requests. A partir de 18 de junho de 2026, a nova versão da ação não permitirá a execução de códigos maliciosos provenientes de pull requests de forks, a menos que os autores do workflow optem explicitamente por permitir isso. Essa mudança é crucial, pois o trigger &lsquo;pull_request_target&rsquo; pode executar código não confiável com privilégios elevados, expondo segredos e o GITHUB_TOKEN. O GitHub destacou que essa vulnerabilidade já foi explorada em ataques recentes, como o comprometimento de pacotes do sistema de construção Nx e outras brechas em projetos populares. A atualização será retroativa a versões suportadas a partir de 16 de julho de 2026. Para mitigar riscos, os desenvolvedores são aconselhados a usar &lsquo;pull_request&rsquo; quando não necessitam de permissões elevadas e a revisar cuidadosamente os workflows que utilizam segredos e permissões de escrita.</p>