lychee 链接检查操作受组合操作中的任意代码注入影响 · CVE-2024-48908
漏洞详情
摘要
在 action.yml 的 composite action 的 lychee-setup 中存在潜在的任意代码注入攻击漏洞。
详情
GitHub Action 的变量输入 inputs.lycheeVersion 可被用于在操作的上下文中执行任意代码。
概念验证 (PoC)
|
|
上述示例仅将所有环境变量打印到工作流摘要中,但攻击者可能利用此向量破坏目标仓库的安全性,且由于操作会正常运行,攻击可能不被察觉。
影响
低
参考资料
- GHSA-65rg-554r-9j5x
- lycheeverse/lychee-action@7cd0af4
- https://nvd.nist.gov/vuln/detail/CVE-2024-48908
技术信息
包
actions - lycheeverse/lychee-action (GitHub Actions)
受影响版本
< 2.0.2
已修补版本
2.0.2
安全评估
严重等级
中等
CVSS 总体评分
6.9 / 10
CVSS v4 基础指标
攻击向量: 网络 攻击复杂性: 高 攻击要求: 无 所需权限: 无 用户交互: 无
受影响系统的机密性影响: 高 受影响系统的完整性影响: 高 受影响系统的可用性影响: 无
后续系统的机密性影响: 无 后续系统的完整性影响: 无 后续系统的可用性影响: 无
CVSS:4.0 向量: AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:U
EPSS 分数
0.022% (第5百分位)
弱点
CWE-94:代码生成控制不当(代码注入) 产品使用来自上游组件的外部影响输入构建部分或全部代码段,但未能正确中和可能修改预期代码段语法或行为的特殊元素。
标识符
- CVE ID: CVE-2024-48908
- GHSA ID: GHSA-65rg-554r-9j5x
源代码
lycheeverse/lychee-action
致谢
报告者: mondeja