多个Reviewdog Action在特定时间段内遭入侵 · CVE-2025-30154
漏洞详情
数据包: actions
受影响组件: reviewdog/action-setup (GitHub Actions)
受影响版本: = 1
已修补版本: 无
描述
摘要
reviewdog/action-setup@v1 于2025年3月11日 UTC时间18:42至20:31之间遭到入侵,被添加了恶意代码,旨在将暴露的密钥(secrets)转储到GitHub Actions工作流日志中。
其他使用 reviewdog/action-setup@v1 的Reviewdog Action也会因此受到影响,无论其版本或固定(pinning)方法如何:
reviewdog/action-shellcheckreviewdog/action-composite-templatereviewdog/action-staticcheckreviewdog/action-ast-grepreviewdog/action-typos
详情
- 恶意提交:
reviewdog/action-setup@f0d342d - 通过版本升级进行的修复/重新标记:
reviewdog/action-setup@3f401fe
参考链接
- GHSA-qmg3-hpqr-gqvc
- reviewdog/reviewdog#2079
- reviewdog/action-setup@3f401fe
- reviewdog/action-setup@f0d342d
- https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup
- https://nvd.nist.gov/vuln/detail/CVE-2025-30154
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-30154
时间线
- 发布者: haya14busa
- 发布至仓库:
reviewdog/reviewdog- 2025年3月19日 - 发布至GitHub Advisory数据库: 2025年3月19日
- 审核状态: GitHub已审核(2025年3月19日)
- 发布于国家漏洞数据库(NVD): 2025年3月19日
- 最后更新: 2025年10月22日
严重程度
等级: 高 CVSS总体评分: 8.6 / 10
CVSS v3 基础指标
- 攻击向量(AV): 网络(N)
- 攻击复杂度(AC): 低(L)
- 所需权限(PR): 无(N)
- 用户交互(UI): 无(N)
- 范围(S): 已改变(C)
- 机密性影响(C): 高(H)
- 完整性影响(I): 无(N)
- 可用性影响(A): 无(N)
- CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:H
EPSS评分
分数: 17.943% (第95百分位数) 此评分估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点标识符: CWE-506 描述: 嵌入式恶意代码 - 产品包含看似具有恶意性质的代码。更多信息请参阅MITRE。
标识符
- CVE ID: CVE-2025-30154
- GHSA ID: GHSA-qmg3-hpqr-gqvc
源代码
致谢
- 报告者: sshayb
- 报告者: ramimac
此公告已编辑,请查看历史记录。