Featured image of post PyPI发布GitHub Action存在表达式注入漏洞,可导致命令执行

PyPI发布GitHub Action存在表达式注入漏洞,可导致命令执行

本文详细分析了PyPI发布GitHub Action中的一个低危安全漏洞,该漏洞由于表达式扩展在操作步骤中可能被注入恶意代码,导致在特定条件下可执行任意命令。文章包含漏洞技术细节、影响范围和修复方案。

PyPI发布GitHub Action存在可注入表达式扩展漏洞

漏洞详情

包信息

  • 包名称: pypa/gh-action-pypi-publish (GitHub Actions)
  • 受影响版本: < 1.13.0
  • 已修复版本: 1.13.0

漏洞描述

摘要

gh-action-pypi-publish在可能被攻击者控制的上下文中使用了GitHub Actions表达式扩展(即${{ ... }})。根据调用gh-action-pypi-publish的触发器类型,这可能允许攻击者在调用gh-action-pypi-publish的工作流步骤上下文中执行任意代码。

详细说明

gh-action-pypi-publish包含一个复合操作步骤set-repo-and-ref,该步骤使用了表达式扩展:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

- name: Set repo and ref from which to run Docker container action
  id: set-repo-and-ref
  run: |
    # Set repo and ref from which to run Docker container action
    # to handle cases in which `github.action_` context is not set

    REF=${{ env.ACTION_REF || env.PR_REF || github.ref_name }}
    REPO=${{ env.ACTION_REPO || env.PR_REPO || github.repository }}
    REPO_ID=${{ env.PR_REPO_ID || github.repository_id }}
    echo "ref=$REF" >>"$GITHUB_OUTPUT"
    echo "repo=$REPO" >>"$GITHUB_OUTPUT"
    echo "repo-id=$REPO_ID" >>"$GITHUB_OUTPUT"
  shell: bash
  env:
    ACTION_REF: ${{ github.action_ref }}
    ACTION_REPO: ${{ github.action_repository }}
    PR_REF: ${{ github.event.pull_request.head.ref }}
    PR_REPO: ${{ github.event.pull_request.head.repo.full_name }}
    PR_REPO_ID: ${{ github.event.pull_request.base.repo.id }}

永久链接:https://github.com/pypa/gh-action-pypi-publish/blob/db8f07d3871a0a180efa06b95d467625c19d5d5f/action.yml#L114-L125

在正常的预期操作中,这些扩展用于为refrepo-id等输出建立正确的优先级。

然而,这些扩展有一个副作用:因为它们使用${{ ... }}而不是${...}(即正常的shell插值),它们可以绕过正常的shell引用规则。特别是,如果env.ACTION_REFenv.PR_REF都计算为空字符串,那么表达式将回退到github.ref_name,这可能是攻击者通过分支或标签名称控制的字符串。

例如,如果攻击者能够将分支名称设置为类似innocent;cat${IFS}/etc/passwd的内容,那么REF行可能扩展为:

1

REF=innocent;cat${IFS}/etc/passwd

这将把REF设置为innocent,然后运行攻击者的代码。

关于危险扩展的更多信息可以在zizmor的模板注入规则文档中找到。

影响

此漏洞的影响非常低:在正常操作中,相关表达式不太可能被评估,因为env.ACTION_REF应该始终优先。

特别是,该操作在许多流行配置中不易受到攻击,例如使用pull_requestreleasepush: tags事件调用操作的情况。

参考

  • GHSA-vxmw-7h4f-hqxh
  • pypa/gh-action-pypi-publish@77db1b7

安全信息

严重程度

  • 等级: 低
  • CVSS总体得分: 0.0/10

CVSS v3基础指标

  • 攻击向量: 网络
  • 攻击复杂度: 低
  • 所需权限: 无
  • 用户交互: 无
  • 范围: 未改变
  • 机密性: 无影响
  • 完整性: 无影响
  • 可用性: 无影响

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:N

弱点

  • 弱点: CWE-77
  • 描述: 在命令中使用的特殊元素的不当中和(命令注入)
  • GHSA ID: GHSA-vxmw-7h4f-hqxh
  • CVE ID: 无已知CVE

信用

  • 报告者: woodruffw
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次