漏洞概述
CVE ID: CVE-2025-47271 漏洞严重等级: 中等(CVSS 6.3) 影响范围: OZI-Project/publish GitHub Actions工作流,版本 >=1.13.2, <1.13.6 修补版本: 1.13.6
漏洞详情
该漏洞存在于OZI-Project的ozi-publish组件中,涉及GitHub Actions的代码发布流程。漏洞的核心问题是代码注入,具体表现为:
- 受影响版本: 从1.13.2开始,直至1.13.6之前的版本。
- 攻击向量: 潜在不受信任的数据流入Pull Request创建逻辑。攻击者可以构造一个特定的分支名称,该名称能够注入任意代码并执行。
- 弱点标识: 该漏洞与多个通用弱点枚举(CWE)相关联:
- CWE-94: 对代码生成的不当控制(代码注入)。产品使用来自上游组件的外部影响输入构建全部或部分代码段,但未能或错误地中和可能修改预期代码段语法或行为的特殊元素。
- CWE-95: 动态评估代码中指令的不当中和(Eval注入)。产品接收来自上游组件的输入,但在动态评估调用(如
eval)中使用输入之前,没有中和或错误地中和了代码语法。 - CWE-1116: 不准确的注释。
解决方案
- 修补方案: 已发布修补版本
1.13.6,用户应立即升级至此版本。 - 临时缓解措施: 可以将版本降级到
<1.13.2。
安全评分详情
- CVSS v4.0 综合评分: 6.3(中等)
- CVSS v4.0 基本指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 低
- 用户交互: 无
- 受影响系统影响:
- 机密性: 高
- 完整性: 高
- 可用性: 高
- 后续系统影响: 无
- 利用预测评分系统(EPSS): 0.08%(第24百分位),表示在接下来30天内被利用的概率较低。
参考信息
- GitHub安全公告: GHSA-2487-9f55-2vg9
- 国家漏洞数据库(NVD)链接: https://nvd.nist.gov/vuln/detail/CVE-2025-47271
- 修补提交: OZI-Project/publish@abd8524
- 相关阅读: 《理解脚本注入的风险》