Lychee链接检查动作受复合动作中任意代码注入影响
漏洞详情
包名: actions
受影响版本: < 2.0.2
修复版本: 2.0.2
漏洞描述
概述
在action.yml的复合动作lychee-setup中存在潜在的任意代码注入攻击漏洞。
详细说明
GitHub Action变量inputs.lycheeVersion可被用于在动作上下文中执行任意代码。
概念验证
|
|
上述示例仅将所有环境变量打印到工作流摘要中,但攻击者可能利用此向量危害目标仓库的安全性,且由于动作会正常运行而不易被察觉。
影响程度
低
参考信息
- GHSA-65rg-554r-9j5x
- lycheeverse/lychee-action@7cd0af4
- https://nvd.nist.gov/vuln/detail/CVE-2024-48908
严重性评级
中等严重程度
CVSS总体评分:6.9/10
CVSS v4基础指标
可利用性指标:
- 攻击向量:网络
- 攻击复杂度:高
- 攻击要求:无
- 所需权限:无
- 用户交互:无
脆弱系统影响指标:
- 机密性:高
- 完整性:高
- 可用性:无
弱点分类
弱点:CWE-94
描述:代码生成控制不当(代码注入)
产品使用来自上游组件的外部影响输入构建全部或部分代码段,但未能消除或错误地消除了可能修改预期代码段语法或行为的特殊元素。