OZI-Project/ozi-publish 代码注入漏洞 · CVE-2025-47271
漏洞详情
基本信息
- CVE ID: CVE-2025-47271
- GHSA ID: GHSA-2487-9f55-2vg9
- 严重等级: 中等(Moderate)
- CVSS评分: 6.3/10
- 影响包: actions/OZI-Project/publish (GitHub Actions)
- 受影响版本: >= 1.13.2, < 1.13.6
- 已修复版本: 1.13.6
漏洞描述
影响
不受信任的数据流入了PR(拉取请求)创建逻辑。恶意攻击者可以构造一个能够注入任意代码的分支名称。
补丁
该漏洞已在1.13.6版本中修复。
临时解决方案
降级到 <1.13.2 版本。
时间线
- 2025年5月10日: 由rjdbcm发布到OZI-Project/publish仓库
- 2025年5月12日:
- 国家漏洞数据库(NVD)发布
- GitHub安全公告数据库发布并审核
技术细节
CVSS v4 基准指标
可利用性指标
- 攻击向量(Attack Vector): 网络(Network)
- 攻击复杂度(Attack Complexity): 低(Low)
- 攻击要求(Attack Requirements): 无(None)
- 所需权限(Privileges Required): 低(Low)
- 用户交互(User interaction): 无(None)
脆弱系统影响指标
- 机密性(Confidentiality): 高(High)
- 完整性(Integrity): 高(High)
- 可用性(Availability): 高(High)
后续系统影响指标
- 机密性(Confidentiality): 无(None)
- 完整性(Integrity): 无(None)
- 可用性(Availability): 无(None)
完整CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U
EPSS评分
- EPSS评分: 0.08%(第24百分位)
- 说明: 该分数估计了此漏洞在未来30天内被利用的概率。
安全弱点
CWE-94
代码生成的不当控制(‘代码注入’) 产品使用来自上游组件的外部影响输入构建全部或部分代码段,但没有对可能修改预期代码段语法或行为的特殊元素进行中和或错误地进行了中和。
CWE-95
动态评估代码中指令的不当中和(‘Eval注入’) 产品接收来自上游组件的输入,但在动态评估调用(例如eval)中使用该输入之前,没有对代码语法进行中和或错误地进行了中和。
CWE-1116
不准确的注释 源代码包含的注释没有准确描述或解释注释关联代码部分的各个方面。