OZI-Project/ozi-publish 代码注入漏洞 · CVE-2025-47271

漏洞详情

包名: actions
项目: OZI-Project/publish (GitHub Actions)
受影响版本: >= 1.13.2, < 1.13.6
已修复版本: 1.13.6

漏洞描述

影响

不受信任的数据流入了PR创建逻辑。恶意攻击者可能构造一个分支名称，从而注入任意代码。

修复补丁

该漏洞已在版本1.13.6中修复。

临时解决方案

降级到<1.13.2版本。

安全评分

严重程度：中等

CVSS总体评分: 6.3/10

CVSS v4基础指标

可利用性指标:

• 攻击向量：网络
• 攻击复杂度：低
• 攻击要求：无
• 所需权限：低
• 用户交互：无

脆弱系统影响指标:

• 机密性：高
• 完整性：高
• 可用性：高

后续系统影响指标:

• 机密性：无
• 完整性：无
• 可用性：无

EPSS评分

被利用概率: 0.08% (第24百分位)

弱点分析

• CWE-94: 代码生成控制不当（代码注入）
• CWE-95: 动态评估代码中指令中和不当（Eval注入）
• CWE-1116: 不准确的注释

参考信息

• GHSA-2487-9f55-2vg9
• https://nvd.nist.gov/vuln/detail/CVE-2025-47271
• OZI-Project/publish@abd8524

时间线

• 2025年5月10日: 由rjdbcm发布至OZI-Project/publish
• 2025年5月12日: 国家漏洞数据库发布
• 2025年5月12日: GitHub咨询数据库发布并审核
• 2025年5月12日: 最后更新