Ibrahim-coder-swat/pnpm-action-rce-poc

# 供应链 RCE PoC — grofers/actions-setup-pnpm 本仓库演示了 grofers/actions-setup-pnpm@v4.2.0 中的 CVSS ~9.6 RCE。 根本原因：动作自动将 `$GITHUB_WORKSPACE` 中的 `.npmrc` 复制到 pnpm 安装目录，使得任何攻击者控制的 `.npmrc` 成为供应链触发点。请参阅工作流运行日志以获取证明 — postinstall 会在运行器上写入 `/tmp/rce_proof.txt`。 联系：bornwinnerrr@wearehackerone.com（HackerOne 用户名 `bornwinnerrr`）。

标签：CVSS 9.6, GitHub Actions, HackerOne, MITM代理, .npmrc, pnpm, PoC, RCE, Runner 漏洞, 依赖链攻击, 安全演示, 工作流安全, 数据可视化, 暴力破解, 漏洞披露, 自动复制, 自动笔记