@actions/download-artifact 存在通过构件提取实现的任意文件写入漏洞

漏洞详情

包名: actions/download-artifact (GitHub Actions)

受影响版本: >= 4.0.0, < 4.1.3

已修复版本: 4.1.3

漏洞描述

影响

在下载和提取包含路径遍历文件名的特制构件时，4.1.3之前版本的actions/download-artifact容易受到任意文件写入攻击。

修复方案

升级到4.1.3或更高版本。或者使用指向最新安全版本的’v4’标签。

参考信息

• https://snyk.io/research/zip-slip-vulnerability
• https://github.com/actions/download-artifact/releases/tag/v4.1.3
• actions/download-artifact#299

安全标识

CVE: CVE-2024-42471

GHSA: GHSA-cxww-7g56-2vh6

致谢: Justin Taft from Google

严重程度

等级: 高

CVSS 总分: 8.6/10

CVSS v4 基础指标

攻击向量: 网络 攻击复杂度: 低 攻击要求: 无 所需权限: 低 用户交互: 无

脆弱系统影响指标

机密性: 高 完整性: 高 可用性: 无

后续系统影响指标

机密性: 无 完整性: 无 可用性: 无

弱点分类

弱点: CWE-22

描述: 对受限目录路径名的限制不当（路径遍历） 产品使用外部输入构建路径名，旨在标识位于受限父目录下的文件或目录，但产品未能正确中和路径名中的特殊元素，这些元素可能导致路径名解析到受限目录之外的位置。