CVE-2025-47271：OZI-Project/ozi-publish代码注入漏洞

漏洞详情

包信息

• 包名称: actions
• 项目: OZI-Project/publish (GitHub Actions)

影响版本

• 受影响版本: >= 1.13.2, < 1.13.6
• 已修复版本: 1.13.6

漏洞描述

影响

不受信任的数据可能流入PR创建逻辑。恶意攻击者可以构造分支名称来注入任意代码。

修复措施

• 已修复版本: 1.13.6
• 临时解决方案: 降级到 <1.13.2

参考信息

• GHSA-2487-9f55-2vg9
• https://nvd.nist.gov/vuln/detail/CVE-2025-47271
• 提交记录: OZI-Project/publish@abd8524

安全评分

CVSS总体评分

6.3/10 - 中等严重程度

CVSS v4基础指标

可利用性指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击要求: 无
• 所需权限: 低
• 用户交互: 无

脆弱系统影响指标

• 机密性: 高
• 完整性: 高
• 可用性: 高

后续系统影响指标

• 机密性: 无
• 完整性: 无
• 可用性: 无

EPSS评分

0.08% (第24百分位) - 未来30天内被利用的概率估计

弱点分析

CWE-94

代码生成的不当控制（代码注入） 产品使用来自上游组件的外部影响输入构建部分或全部代码段，但未能中和或错误地中和可能修改预期代码段语法或行为的特殊元素。

CWE-95

动态评估代码中指令的不当中和（Eval注入） 产品从上游组件接收输入，但在动态评估调用中使用该输入之前，未能中和或错误地中和代码语法。

CWE-1116

不准确的注释 源代码包含的注释未能准确描述或解释与注释关联的代码部分的相关方面。

标识符

• CVE ID: CVE-2025-47271
• GHSA ID: GHSA-2487-9f55-2vg9

时间线

• 2025年5月10日: rjdbcm发布到OZI-Project/publish
• 2025年5月12日: 国家漏洞数据库发布
• 2025年5月12日: GitHub咨询数据库发布
• 2025年5月12日: 完成审核
• 2025年5月12日: 最后更新