lychee 链接检查 Action 因复合 Action 中的任意代码注入而受影响 · CVE-2024-48908 · GitHub Advisory Database
漏洞详情
包
actions/lycheeverse/lychee-action(GitHub Actions)
受影响版本
< 2.0.2
已修复版本
2.0.2
描述
摘要
在 action.yml 的复合 Action 的 lychee-setup 部分存在潜在的任意代码注入攻击漏洞。
详情
GitHub Action 变量 inputs.lycheeVersion 可被用于在该 Action 的上下文中执行任意代码。
概念验证 (PoC)
|
|
上述示例仅会将所有环境变量打印到工作流摘要中,但攻击者可能利用此向量危害目标仓库的安全,并且由于 Action 会正常运行,攻击可能不易被察觉。
影响 低
参考
- GHSA-65rg-554r-9j5x
- lycheeverse/lychee-action@7cd0af4
- https://nvd.nist.gov/vuln/detail/CVE-2024-48908
时间线
mre于 2025年8月28日 发布至lycheeverse/lychee-action- 发布于 GitHub Advisory Database:2025年8月28日
- 已审核:2025年8月28日
- 发布于国家漏洞数据库:2025年8月28日
- 最后更新:2025年8月28日
严重程度
中等
CVSS 总体评分:6.9 / 10
CVSS v4 基础指标
- CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U
可攻击性指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 攻击先决条件: 无
- 所需权限: 无
- 用户交互: 无
脆弱系统影响指标
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 无
后续系统影响指标
- 机密性影响: 无
- 完整性影响: 无
- 可用性影响: 无
EPSS 评分
- 0.022% (第5百分位)
弱点
CWE-94: 代码生成的不当控制(‘代码注入’)
该产品使用来自上游组件的外部影响输入来构建部分或全部代码段,但它没有中和或错误地中和了可能修改预期代码段语法或行为的特殊元素。
标识符
- CVE ID: CVE-2024-48908
- GHSA ID: GHSA-65rg-554r-9j5x
源代码
lycheeverse/lychee-action
鸣谢
- 报告者:
mondeja