漏洞详情
CVE ID: CVE-2025-47271 GHSA ID: GHSA-2487-9f55-2vg9
包/组件: OZI-Project/publish (GitHub Actions)
受影响版本: >= 1.13.2, < 1.13.6 已修复版本: 1.13.6
严重性: 中等 (CVSS 评分: 6.3)
描述
影响 不受信任的数据可能流入PR(拉取请求)创建逻辑中。恶意攻击者可以构造一个能够注入任意代码的分支名称。
补丁 该漏洞已在版本 1.13.6 中修复。
临时解决方案 降级到版本 <1.13.2。
漏洞技术细节
弱点 该漏洞与以下通用弱点枚举(CWE)相关联:
- CWE-94: 代码生成的不当控制(‘代码注入’)
- CWE-95: 动态执行代码中指令的不当中和(‘Eval注入’)
- CWE-1116: 不准确的注释
CVSS v4.0 基本指标
可利用性指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击前提: 无
- 所需权限: 低
- 用户交互: 无
受影响系统影响指标:
- 机密性: 高
- 完整性: 高
- 可用性: 高
后续系统影响指标:
- 机密性: 无
- 完整性: 无
- 可用性: 无
CVSS v4.0 向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U
EPSS 评分: 0.082% (第24百分位,估计未来30天内被利用的概率较低)
时间线
- 2025年5月10日: 由
rjdbcm发布到OZI-Project/publish仓库。 - 2025年5月12日: 国家漏洞数据库(NVD)发布。
- 2025年5月12日: 发布至 GitHub Advisory Database 并经过审核。
- 2025年5月12日: 最后更新。