Lychee链接检查动作存在任意代码注入漏洞

本文详细分析了Lychee链接检查动作中存在的任意代码注入漏洞(CVE-2024-48908)。该漏洞位于action.yml文件的lychee-setup复合动作中,攻击者可通过恶意构造的lycheeVersion参数执行任意代码,威胁目标仓库安全。

Lychee链接检查动作受复合动作中任意代码注入影响

漏洞详情

包名: actions
受影响仓库: lycheeverse/lychee-action (GitHub Actions)
受影响版本: < 2.0.2
已修复版本: 2.0.2

漏洞描述

摘要

在action.yml文件的lychee-setup复合动作中存在潜在的任意代码注入攻击漏洞。

详细说明

GitHub Action变量inputs.lycheeVersion可被用于在动作上下文中执行任意代码。

概念验证(PoC) 

1
2
3

- uses: lycheeverse/lychee@v2
  with:
    lycheeVersion: $(printenv >> $GITHUB_STEP_SUMMARY && echo "v0.16.1")

上述示例仅将所有环境变量打印到工作流摘要中,但攻击者可能利用此向量危害目标仓库的安全,且由于动作会正常运行而不易被察觉。

影响程度

参考信息

严重性评级

中等严重性
CVSS总体评分: 6.9/10

CVSS v4基础指标

可利用性指标:

  • 攻击向量: 网络
  • 攻击复杂度: 高
  • 攻击要求: 无
  • 所需权限: 无
  • 用户交互: 无

脆弱系统影响指标:

  • 机密性: 高
  • 完整性: 高
  • 可用性: 无

后续系统影响指标:

  • 机密性: 无
  • 完整性: 无
  • 可用性: 无

弱点分类

弱点: CWE-94
描述: 代码生成控制不当(代码注入)
产品使用来自上游组件的外部影响输入构建全部或部分代码段,但未能消除或错误地消除了可能修改预期代码段语法或行为的特殊元素。

标识符

  • CVE ID: CVE-2024-48908
  • GHSA ID: GHSA-65rg-554r-9j5x

源代码

lycheeverse/lychee-action

致谢

报告者: mondeja

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次