Lychee链接检查动作受组合动作中任意代码注入影响
漏洞概述
CVE ID: CVE-2024-48908
严重程度: 中等
CVSS评分: 6.9/10
受影响版本
- 受影响版本: < 2.0.2
- 已修复版本: 2.0.2
漏洞详情
漏洞描述
在action.yml的组合动作中的lychee-setup存在潜在的任意代码注入攻击漏洞。
技术细节
GitHub Action变量输入inputs.lycheeVersion可被用于在动作上下文中执行任意代码。
概念验证(PoC)
|
|
上述示例会将所有环境变量打印到工作流摘要中,但攻击者可能利用此向量危害目标仓库的安全性,且由于动作会正常运行而不被发现。
影响评估
影响程度: 低
参考信息
- GHSA-65rg-554r-9j5x
- lycheeverse/lychee-action@7cd0af4
- https://nvd.nist.gov/vuln/detail/CVE-2024-48908
CVSS v4基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 攻击要求: 无
- 所需权限: 无
- 用户交互: 无
脆弱系统影响指标
- 机密性: 高
- 完整性: 高
- 可用性: 无
后续系统影响指标
- 机密性: 无
- 完整性: 无
- 可用性: 无
弱点分类
CWE-94: 代码生成的不当控制(代码注入)
产品使用来自上游组件的外部影响输入构建全部或部分代码段,但未能中和或错误地中和可能修改预期代码段语法或行为的特殊元素。
额外信息
- EPSS评分: 0.021%(第4百分位)
- 报告者: mondeja
- 发布于: 2025年8月28日
- 最后更新: 2025年8月28日