筆者がOSS「postiz-app」でCVE-2026-42298(CVSS 10.0)を発見した経緯と技術的詳細を解説。GitHub Actionsの設定ミスを悪用したリモートコード実行の脆弱性について、発見までのフローとリスク対策をまとめました。