Auf den Punkt: GitHub schränkt actions/checkout ein, um zu verhindern, dass Angreifer über pull_request_target-Trigger mit vollen Workflow-Rechten Code ausführen.
GitHub aktualisiert die Action "actions/checkout" ab 18. Juni 2026, um Angriffe auf Pull-Request-Workflows zu blockieren, die Malware mit vollständigen Workflow-Privilegien ausführen.
Mit dem Update von “actions/checkout” ab 18. Juni 2026 zielt GitHub auf eine bekannte Angriffsklasse: Pwn-Request-Attacken, die den Workflow-Trigger “pull_request_target” ausnutzen. Dieser Trigger wurde ursprünglich für automatisierte Prüfungen auf Pull Requests konzipiert — er lädt den Code eines Forks oder Branches aus einer Anfrage, führt ihn aber mit den vollen Berechtigungen des Ziel-Repositories aus.
Angreifer, die einen Fork kontrollieren, können innerhalb von Pull Requests beliebigen Code einschleusen und dann Secrets, Credentials oder Zugriffstokens der CI/CD-Pipeline abgreifen. Weil pull_request_target diesem Malware-Code vollständigen Zugang gewährt, entsteht eine direkte Gefahr für die Supply Chain — besonders wenn das betroffene Repo Produktionscode veröffentlicht oder in abhängigen Projekten verwendet wird.
Die Blockade in “actions/checkout” setzt Schutzmaßnahmen durch, die das Checkout-Verhalten einschränken, wenn es unter dem “pull_request_target”-Trigger läuft. Das unterbindet häufige Angriffsparamter und zwingt Maintainer dazu, bewusstere Entscheidungen über Berechtigungsvergabe zu treffen. Für Standard-Workflows mit dem “pull_request”-Trigger gibt es keine Auswirkung.
Für Engineers bedeutet das: Falls dein Projekt “pull_request_target” nutzt, prüfe deine Workflow-Konfiguration nach dem 18. Juni auf mögliche Fehler. Die offizielle Dokumentation von GitHub enthält Best Practices für sicheres Handling von untrusted Code in Pull-Request-Workflows.
Quelle: thehackernews.com · Erschienen 23. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.