@actions/download-artifact 存在通过构件提取导致的任意文件写入漏洞 · GHSA-cxww-7g56-2vh6 · GitHub 安全公告数据库

漏洞详情

包 actions

受影响组件 actions/download-artifact (GitHub Actions)

受影响版本

= 4.0.0, < 4.1.3

已修复版本 4.1.3

描述

影响 在下载和提取包含路径遍历文件名的特制构件时，4.1.3版本之前的actions/download-artifact容易受到任意文件写入攻击。

补丁 升级到4.1.3或更高版本。或者使用指向最新安全版本的’v4’标签。

参考链接

• https://snyk.io/research/zip-slip-vulnerability
• https://github.com/actions/download-artifact/releases/tag/v4.1.3
• actions/download-artifact#299

CVE标识 CVE-2024-42471

致谢 Justin Taft from Google

相关参考

• GHSA-cxww-7g56-2vh6
• GHSA-6q32-hq47-5qq3
• https://snyk.io/research/zip-slip-vulnerability
• https://github.com/actions/download-artifact/releases/tag/v4.1.3

安全评估

严重程度：高

CVSS总体评分：8.6/10

CVSS v4 基础指标

可利用性指标

• 攻击向量：网络
• 攻击复杂度：低
• 攻击要求：无
• 所需权限：低
• 用户交互：无

脆弱系统影响指标

• 机密性：高
• 完整性：高
• 可用性：无

后续系统影响指标

• 机密性：无
• 完整性：无
• 可用性：无

CVSS v4向量表示 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

弱点分析

弱点类型：CWE-22

描述： 对路径名到受限目录的限制不当（“路径遍历”） 产品使用外部输入构建旨在标识位于受限父目录下的文件或目录的路径名，但产品未能正确中和路径名中的特殊元素，这些元素可能导致路径名解析到受限目录之外的位置。

CVE ID： 暂无已知CVE

GHSA ID： GHSA-cxww-7g56-2vh6

源代码： actions/download-artifact

分析人员： holmanb