OZI-Project/ozi-publish 代码注入漏洞 · CVE-2025-47271
漏洞详情
CVE-2025-47271 是一个影响 OZI-Project 的 ozi-publish GitHub Action 的代码注入漏洞,被评定为中等严重程度。
受影响范围
- 受影响的版本:1.13.2 至 1.13.5
- 已修复版本:1.13.6
- 临时解决方案:降级至 1.13.2 之前的版本
漏洞描述
ozi-publish 是一个用于将版本发布到 PyPI 并在标记版本中镜像发布、签名包和来源的 GitHub Action。在受影响版本中,潜在的不可信数据流入了 PR 创建逻辑。恶意攻击者可以通过构造一个分支名称来注入任意代码。
安全评估
CVSS 评分
该漏洞的 CVSS 4.0 总体评分为 6.3(中等)。
攻击向量分析
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:无
- 所需权限:低
- 用户交互:无
受影响系统影响
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
弱点枚举
该漏洞与以下常见弱点枚举相关:
| CWE-ID | CWE 名称 | 描述 |
|---|---|---|
| CWE-94 | 代码生成的不当控制 | 产品使用来自上游组件的外部影响输入构建全部或部分代码段,但未能中和或错误地中和可能修改预期代码段语法或行为的特殊元素 |
| CWE-95 | 动态评估代码中指令的不当中和 | 产品从上游组件接收输入,但在动态评估调用中使用该输入之前,未能中和或错误地中和代码语法 |
| CWE-1116 | 不准确的注释 | 源代码包含的注释未能准确描述或解释与注释相关联的代码部分 |
参考信息
- GitHub 安全公告:GHSA-2487-9f55-2vg9
- NVD 漏洞详情:https://nvd.nist.gov/vuln/detail/CVE-2025-47271
- 修复提交:OZI-Project/publish@abd8524
时间线
- 2025年5月10日:由 rjdbcm 发布至 OZI-Project/publish
- 2025年5月12日:由国家漏洞数据库发布
- 2025年5月12日:发布至 GitHub 咨询数据库并完成审核