OZI-Project/ozi-publish 代码注入漏洞 · CVE-2025-47271
漏洞详情
严重程度:中等 GitHub 状态:已审核 发布时间:2025年5月10日 最后更新:2025年5月12日
受影响组件
包/动作:OZI-Project/publish (GitHub Actions)
受影响版本:>= 1.13.2, < 1.13.6 已修复版本:1.13.6
漏洞描述
影响 不受信任的数据可能流入拉取请求(PR)创建逻辑。恶意攻击者可以构造一个能够注入任意代码的分支名称。
补丁 该漏洞已在版本 1.13.6 中修复。
变通方案 降级至版本 < 1.13.2。
参考信息
- 理解脚本注入的风险
- GHSA-2487-9f55-2vg9
- https://nvd.nist.gov/vuln/detail/CVE-2025-47271
- OZI-Project/publish@abd8524
发布时间线
- rjdbcm 发布于 OZI-Project/publish:2025年5月10日
- 美国国家漏洞数据库 (NVD) 发布:2025年5月12日
- GitHub 安全通告数据库 发布并审核:2025年5月12日
严重性评分
CVSS 总体评分:6.3 / 10 (中等)
CVSS v4.0 基础指标
- 攻击向量 (AV):网络
- 攻击复杂度 (AC):低
- 攻击前提 (AT):无
- 所需权限 (PR):低
- 用户交互 (UI):无
受影响系统的影响指标
- 机密性 (VC):高
- 完整性 (VI):高
- 可用性 (VA):高
后续系统的影响指标
- 机密性 (SC):无
- 完整性 (SI):无
- 可用性 (SA):无
向量字符串:
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U
EPSS 评分
被利用概率:0.08% (第24百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
相关弱点 (CWE)
- CWE-94:代码生成控制不当(‘代码注入’)
- 产品使用来自上游组件的外部影响输入来构造全部或部分代码段,但没有或未能正确地对可能修改预期代码段语法或行为的特殊元素进行无害化处理。
- CWE-95:动态评估代码中指令的不当中和(‘Eval注入’)
- 产品接收来自上游组件的输入,但在动态评估调用(例如
eval)中使用该输入之前,没有或未能正确地对代码语法进行无害化处理。
- 产品接收来自上游组件的输入,但在动态评估调用(例如
- CWE-1116:不准确的注释
- 源代码包含的注释未准确描述或解释与注释相关联的那部分代码的各个方面。
标识符
- CVE ID:CVE-2025-47271
- GHSA ID:GHSA-2487-9f55-2vg9
源代码仓库:OZI-Project/publish