Github被發現存在一個高危漏洞，基本上所有擁有復雜Github Actions的項目都容易被攻擊。這個CVE代號為CVE-2020-15228的漏洞是由Google旗下著名的Project Zero網絡安全團隊在7月份時發現的。由于Project Zero之前改變了其對于公布漏洞的政策，因此他們給了Github整整90天的時間去修復這個漏洞。Github其后在10月份時棄用了易受攻擊的指令，并且也使用戶發出了安全警示提醒他們要盡快更新工作流。而在10月中的時候，Project Zero又給予了Github額外14天的寬限期。就在這個限期屆滿前，Github向Project Zero申請延長限期48小時來通知更多的用戶以及決定甚么時候可以修好這個漏洞。

CV-2020-15228是一個代碼注入攻擊，而Github Actions中的各種工作流指令是極為容易受到這類攻擊。這些指令是在執行動作以及Action Runner中的溝通渠道存在的。Google高級信息安全工程師Felix Wilhem在一份Project Zero的報告中表示：

“這個功能(工作流指令)的最大問題在于它極易受到代碼注入攻擊。當運行程序在解析STDOUT上的每一行文字嘗試尋找工作流指令時，所有列出未受信任內容所為執行的一部分的Github動作都很容易被攻擊。在大多數情況下，可設置任意環境變量這個特性，只要當另一個工作流在執行后，最終都很有可能會被用作遠程執行代碼。我花了些時間在Github的存儲庫中檢查，發現只要是有點復雜的Github動作都容易被攻擊。”

Felix Wilhem還表示，Github要修復這個漏洞會是比較困難的，因為工作流指令的實現方式從根本上來說是不安全的，棄用那些部分指令只是一個臨時的解決方法，要徹底修復就需要把工作流指令移動到其他地方，雖然這樣做會破壞掉某些依賴其的代碼。