Lychee链接检查动作存在任意代码注入漏洞

本文详细分析了Lychee链接检查动作中存在的任意代码注入漏洞(CVE-2024-48908),该漏洞允许攻击者通过lycheeVersion参数执行任意代码,可能危及目标仓库的安全,且攻击行为难以察觉。

Lychee链接检查动作受复合动作中任意代码注入影响

漏洞详情

包名: actions
受影响版本: < 2.0.2
已修复版本: 2.0.2

漏洞描述

摘要

在action.yml的复合动作lychee-setup中存在潜在的任意代码注入攻击漏洞。

详细说明

GitHub Action变量inputs.lycheeVersion可被用来在动作上下文中执行任意代码。

概念验证 

1
2
3

- uses: lycheeverse/lychee@v2
  with:
    lycheeVersion: $(printenv >> $GITHUB_STEP_SUMMARY && echo "v0.16.1")

上述示例仅将所有环境变量打印到工作流摘要中,但攻击者可能利用此向量危害目标仓库的安全性,且由于动作会正常运行,攻击行为难以被察觉。

影响程度

参考信息

严重程度

中等
CVSS总体评分:6.9/10

弱点分类

弱点: CWE-94
描述: 代码生成控制不当(代码注入)
产品使用来自上游组件的外部影响输入构建全部或部分代码段,但未中和或错误地中和可能修改预期代码段语法或行为的特殊元素。

识别信息

  • CVE ID: CVE-2024-48908
  • GHSA ID: GHSA-65rg-554r-9j5x
  • 源代码: lycheeverse/lychee-action

致谢

报告者: mondeja

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次