@actions/download-artifact 存在通过构件提取实现的任意文件写入漏洞
漏洞详情
包名称: actions/download-artifact (GitHub Actions)
受影响版本: >= 4.0.0, < 4.1.3
已修复版本: 4.1.3
影响描述
在4.1.3之前的actions/download-artifact版本中,当下载和提取包含路径遍历文件名的特制构件时,容易受到任意文件写入攻击。
修复方案
升级到4.1.3或更高版本。或者使用指向最新安全版本的’v4’标签。
技术细节
漏洞类型: 路径遍历 (CWE-22) 严重程度: 高危 CVSS评分: 8.6
CVSS v4 基础指标
攻击向量: 网络 攻击复杂度: 低 攻击要求: 无 所需权限: 低 用户交互: 无
受影响系统影响指标:
- 机密性: 高
- 完整性: 高
- 可用性: 无
参考链接
- https://snyk.io/research/zip-slip-vulnerability
- https://github.com/actions/download-artifact/releases/tag/v4.1.3
- actions/download-artifact#299
安全标识
CVE: CVE-2024-42471 GHSA: GHSA-cxww-7g56-2vh6
致谢
Justin Taft from Google