漏洞概述

GitHub官方安全公告（GHSA-cxww-7g56-2vh6）披露，@actions/download-artifact组件在特定版本范围内存在一个高危安全漏洞。该漏洞使得攻击者能够利用精心构造的、包含路径遍历文件名的工件（artifact），在下载和提取过程中实现任意文件写入。

受影响范围

• 受影响的包: actions/download-artifact
• 受影响版本: 大于等于 4.0.0 且小于 4.1.3
• 已修复版本: 4.1.3 或更高版本。使用指向最新安全版本的 v4 标签也是安全的替代方案。

技术细节

漏洞本质: 此漏洞属于“路径遍历”（Path Traversal）类型，对应通用弱点枚举（CWE）中的 CWE-22: 路径名到受限目录的限制不当。具体表现为，软件在构建用于定位受限父目录下文件或目录的路径名时，使用了外部输入，但未能妥善处理路径名中的特殊元素，导致路径解析可以跳转到受限目录之外的位置。

影响评估:

• 严重等级: 高 (CVSS总体评分 8.6)
• CVSS v4 向量: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
  • 攻击向量 (AV): 网络
  • 攻击复杂度 (AC): 低
  • 所需权限 (PR): 低
  • 用户交互 (UI): 无
  • 对脆弱系统的影响: 机密性 (VC) 和完整性 (VI) 影响均为高，可用性 (VA) 无影响。
• 影响: 成功利用此漏洞可能导致攻击者在受害系统上写入任意文件，从而破坏系统完整性并可能泄露敏感信息（高机密性影响）。

修复与缓解措施

1. 立即升级: 将 @actions/download-artifact 升级到版本 4.1.3 或更高。
2. 使用安全标签: 继续使用 v4 标签，它将自动指向修复后的最新版本。
3. 参考链接:
   • 修复版本发布页: https://github.com/actions/download-artifact/releases/tag/v4.1.3
   • 相关研究: Snyk 关于 ZIP Slip 漏洞的研究

附加信息

• CVE 编号: CVE-2024-42471
• 致谢: 该漏洞由 Google 的 Justin Taft 发现并报告。
• 相关公告: 此漏洞也与安全公告 GHSA-6q32-hq47-5qq3 相关联。
• 发布与更新:
  • 首次由 joshmgross 于 2024年9月2日发布至 actions/download-artifact 仓库。
  • 于 2024年9月3日发布至 GitHub 安全公告数据库并经过审核。
  • 最后更新于 2025年1月22日。