CVE-2025-30154:多个Reviewdog Actions在特定时间段遭入侵
漏洞详情
包名称: actions
受影响组件: reviewdog/action-setup (GitHub Actions)
受影响版本: = 1
已修复版本: 无
漏洞描述
概述
reviewdog/action-setup@v1 在2025年3月11日 UTC时间18:42至20:31期间遭到入侵,恶意代码被添加到该组件中,能够将暴露的密钥信息转储到GitHub Actions工作流日志中。
其他使用reviewdog/action-setup@v1的reviewdog actions也会受到影响,无论其版本或固定方法如何:
- reviewdog/action-shellcheck
- reviewdog/action-composite-template
- reviewdog/action-staticcheck
- reviewdog/action-ast-grep
- reviewdog/action-typos
详细说明
恶意提交: reviewdog/action-setup@f0d342d
修复方式: 通过版本升级进行修复/重新标记:reviewdog/action-setup@3f401fe
详细报告可参考Wiz Research的研究文章和reviewdog维护者的公告。
参考信息
- GHSA-qmg3-hpqr-gqvc
- reviewdog/reviewdog#2079
- reviewdog/action-setup@3f401fe
- reviewdog/action-setup@f0d342d
- https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup
- https://nvd.nist.gov/vuln/detail/CVE-2025-30154
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-30154
安全评分
严重等级: 高危
CVSS总体评分: 8.6/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 已改变
- 机密性影响: 高
- 完整性影响: 无
- 可用性影响: 无
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:H
EPSS评分
17.943% (第95百分位)
弱点分类
弱点类型: CWE-506
描述: 嵌入式恶意代码 - 产品包含看似具有恶意性质的代码。
标识符
- CVE ID: CVE-2025-30154
- GHSA ID: GHSA-qmg3-hpqr-gqvc
源代码
reviewdog/reviewdog
致谢
- sshayb (报告者)
- ramimac (报告者)