lychee链接检查操作受组合操作中的任意代码注入影响 · CVE-2024-48908

漏洞严重性：中等 GitHub已审核 发布日期：2025年8月28日 所属仓库：lycheeverse/lychee-action 最后更新：2025年8月28日

漏洞详情

Dependabot警报：0

受影响组件

包： actions 仓库： lycheeverse/lychee-action (GitHub Actions)

受影响版本

< 2.0.2

已修复版本

2.0.2

描述

摘要

在 action.yml 文件中的 composite action lychee-setup 部分存在潜在的任意代码注入攻击漏洞。

详情

GitHub Action 的变量输入 inputs.lycheeVersion 可被利用，在操作上下文中执行任意代码。

概念验证 (PoC)

1
2
3

- uses: lycheeverse/lychee@v2
  with:
    lycheeVersion: $(printenv >> $GITHUB_STEP_SUMMARY && echo "v0.16.1")

上述示例仅将所有的环境变量打印到工作流摘要中，但攻击者可能利用此向量危害目标仓库的安全性，且由于操作会正常运行，攻击可能不被察觉。

影响

低

参考链接

• GHSA-65rg-554r-9j5x
• lycheeverse/lychee-action@7cd0af4
• https://nvd.nist.gov/vuln/detail/CVE-2024-48908

发布者： mre 发布至： lycheeverse/lychee-action 发布日期： 2025年8月28日 GitHub Advisory数据库发布日期： 2025年8月28日 审核日期： 2025年8月28日 国家漏洞数据库发布日期： 2025年8月28日

严重性评分

CVSS总体评分：6.9/10 (中等)

此评分基于通用漏洞评分系统(CVSS)，从0到10计算总体漏洞严重性。

CVSS v4 基础指标

可利用性指标

• 攻击向量： 网络
• 攻击复杂度： 高
• 攻击要求： 无
• 所需权限： 无
• 用户交互： 无

易受攻击系统影响指标

• 机密性： 高
• 完整性： 高
• 可用性： 无

后续系统影响指标

• 机密性： 无
• 完整性： 无
• 可用性： 无

CVSS v4 向量字符串： CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U

EPSS 评分：0.022% (第5百分位)

此评分估计该漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点

弱点标识： CWE-94 描述： 代码生成的不当控制（“代码注入”） 产品使用来自上游组件的外部影响输入来构造全部或部分代码段，但未能中和或错误地中和可能修改预期代码段语法或行为的特殊元素。 了解更多： MITRE

标识符

CVE ID： CVE-2024-48908 GHSA ID： GHSA-65rg-554r-9j5x

源代码

lycheeverse/lychee-action

致谢

报告者： mondeja

此公告已被编辑。请查看历史记录。

发现问题可贡献？ 为此漏洞提出改进建议。