OZI-Project/ozi-publish 代码注入漏洞 · CVE-2025-47271
漏洞详情
包: actions / OZI-Project/publish (GitHub Actions)
受影响版本: >= 1.13.2, < 1.13.6
已修复版本: 1.13.6
描述
影响 不受信任的数据可能流入PR(拉取请求)创建逻辑。恶意攻击者可以构造一个分支名称来注入任意代码。
补丁 该漏洞已在 1.13.6 版本中修复。
临时解决方案 降级到 <1.13.2 版本。
参考链接
- 了解脚本注入的风险
- GHSA-2487-9f55-2vg9
- https://nvd.nist.gov/vuln/detail/CVE-2025-47271
- OZI-Project/publish@abd8524
发布时间线
- rjdbcm 发布到 OZI-Project/publish: 2025年5月10日
- 国家漏洞数据库发布: 2025年5月12日
- GitHub 咨询数据库发布: 2025年5月12日
- 审核: 2025年5月12日
- 最后更新: 2025年5月12日
严重程度
中等 | CVSS 总分: 6.3 / 10
CVSS v4 基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 低
- 用户交互: 无
脆弱系统影响指标
- 机密性: 高
- 完整性: 高
- 可用性: 高
后续系统影响指标
- 机密性: 无
- 完整性: 无
- 可用性: 无
CVSS向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U
EPSS 分数
0.082% (第24百分位) 此分数估计此漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
- CWE-94: 代码生成的不当控制(代码注入) 产品使用来自上游组件的外部影响输入构建全部或部分代码段,但它没有中和或错误地中和可能修改预期代码段语法或行为的特殊元素。
- CWE-95: 动态评估代码中指令的不当中和(Eval注入) 产品从上游组件接收输入,但在动态评估调用(如eval)中使用输入之前,它没有中和或错误地中和代码语法。
- CWE-1116: 不准确的注释 源代码包含的注释没有准确描述或解释与注释关联的代码部分的各个方面。
标识符
- CVE ID: CVE-2025-47271
- GHSA ID: GHSA-2487-9f55-2vg9
源代码
- OZI-Project/publish