GitHub อัปเดต actions/checkout ปิดช่องโหว่ Pwn Request Attack

GitHub กำลังเสริมความแข็งแกร่งด้านความปลอดภัยของซัพพลายเชนซอฟต์แวร์ด้วยการอัปเดต actions/checkout เพื่อป้องกันการโจมตีแบบ pwn request ที่ใช้ประโยชน์จากการใช้งานที่เสี่ยงของ trigger pull_request_target workflow เพื่อรันโค้ดอันตรายด้วยสิทธิ์เต็มของ workflow

ตั้งแต่วันที่ 18 มิถุนายน 2026 เป็นต้นไป actions/checkout เวอร์ชันล่าสุดซึ่งเป็น GitHub Action อย่างเป็นทางการสำหรับการ checkout repository จะมีการเปลี่ยนแปลงที่สำคัญเพื่อบล็อกรูปแบบการโจมตีนี้

ช่องโหว่จาก pull_request_target

pull_request_target เป็น trigger ที่ออกแบบมาให้ทำงานกับ pull request จาก fork โดยมีสิทธิ์ของ repository เป้าหมาย ซึ่งแตกต่างจาก pull_request trigger ที่มีสิทธิ์แค่ read-only การใช้งาน pull_request_target กับ actions/checkout เวอร์ชันเก่าอาจทำให้ผู้โจมตีสามารถแทรกโค้ดอันตรายผ่านการ commit ที่ดูเหมือนปกติได้

วิธีการทำงานของ Pwn Request

การโจมตี pwn request อาศัยการที่ pull_request_target ถูกเรียกใช้โดยอัตโนมัติเมื่อมี pull request ใหม่ ผู้โจมตีสามารถส่ง pull request ที่มีการแก้ไขไฟล์ workflow เพื่อให้รันคำสั่งที่เป็นอันตราย เช่น การขโมย secret token การเข้าถึงระบบภายใน หรือการติดตั้ง malware ใน CI/CD pipeline

การอัปเดตที่สำคัญ

การอัปเดตครั้งนี้จะทำให้ actions/checkout ไม่ยอมรับการ checkout ที่มาจาก pull request ที่ไม่น่าเชื่อถืออีกต่อไป โดย default จะบล็อคการทำงานของ pull_request_target หากมีการพยายามใช้ actions/checkout ในลักษณะที่เสี่ยง GitHub แนะนำให้ผู้ใช้ตรวจสอบและอัปเดต workflow ของตนเองให้ใช้ trigger ที่เหมาะสม เช่น pull_request หรือ workflow_dispatch แทน

ผลกระทบต่อนักพัฒนา

นักพัฒนาที่ใช้ GitHub Actions ในการทำ CI/CD ควรตรวจสอบว่าตนเองใช้ actions/checkout เวอร์ชันล่าสุดและไม่มีการพึ่งพาการทำงานของ pull_request_target ในทางที่ไม่ปลอดภัย การอัปเดตนี้เป็นส่วนหนึ่งของความพยายามของ GitHub ในการป้องกันซัพพลายเชนซอฟต์แวร์จากการโจมตีที่ซับซ้อนมากขึ้นในยุคที่การรักษาความปลอดภัยของโค้ดมีความสำคัญสูงสุด

Reference

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th