漏洞详情
包信息
- 包:
actions/lycheeverse/lychee-action(GitHub Actions) - 受影响版本:
< 2.0.2 - 已修复版本:
2.0.2
描述
摘要
在 action.yml 的复合动作 lychee-setup 中存在潜在的任意代码注入攻击漏洞。
详情
GitHub Action 的变量输入 inputs.lycheeVersion 可被用于在 Action 的上下文中执行任意代码。
概念验证 (PoC)
|
|
上述示例仅将所有环境变量打印到工作流摘要中,但攻击者可能利用此向量危害目标仓库的安全,而且由于 Action 会正常执行,攻击可能不会被察觉。
影响
低
参考
- GHSA-65rg-554r-9j5x
- lycheeverse/lychee-action@7cd0af4
- https://nvd.nist.gov/vuln/detail/CVE-2024-48908
安全评估
严重等级
- 等级: 中危
- CVSS 总体评分: 6.9 / 10
CVSS v4 基础指标
- 攻击向量 (AV): 网络 (N)
- 攻击复杂度 (AC): 高 (H)
- 攻击前提 (AT): 无 (N)
- 所需权限 (PR): 无 (N)
- 用户交互 (UI): 无 (N)
- 脆弱系统影响:
- 机密性 (VC): 高 (H)
- 完整性 (VI): 高 (H)
- 可用性 (VA): 无 (N)
- 后续系统影响:
- 机密性 (SC): 无 (N)
- 完整性 (SI): 无 (N)
- 可用性 (SA): 无 (N)
向量字符串: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U
EPSS 评分
- 分数: 0.025% (第6百分位)
- 说明: 此分数估计了该漏洞在未来30天内被利用的概率。数据由 FIRST 提供。
弱点
- CWE: CWE-94 - 对代码生成的不当控制(“代码注入”)
- 描述: 该产品使用来自上游组件的外部影响输入来构造全部或部分代码段,但它没有对可能修改预期代码段语法或行为的特殊元素进行清理或清理不正确。
标识符
- CVE ID: CVE-2024-48908
- GHSA ID: GHSA-65rg-554r-9j5x
源代码
- lycheeverse/lychee-action
致谢
- 报告者: mondeja