CVE-2025-30154:多个Reviewdog Actions在特定时间段内遭入侵
漏洞详情
包信息
- 包: actions
- 受影响的操作:
reviewdog/action-setup(GitHub Actions) - 受影响版本: = 1
- 已修复版本: 无
描述
概述
reviewdog/action-setup@v1 在2025年3月11日世界标准时间18:42至20:31之间遭到入侵,被添加了恶意代码,该代码会将暴露的机密信息转储到GitHub Actions工作流日志中。
其他使用 reviewdog/action-setup@v1 的reviewdog actions也会受到影响,无论其版本或固定方法如何:
reviewdog/action-shellcheckreviewdog/action-composite-templatereviewdog/action-staticcheckreviewdog/action-ast-grepreviewdog/action-typos
详细说明
- 恶意提交:
reviewdog/action-setup@f0d342d - 通过版本升级进行修复/重新标记:
reviewdog/action-setup@3f401fe
参考资料
- GHSA-qmg3-hpqr-gqvc
- reviewdog/reviewdog#2079
- reviewdog/action-setup@3f401fe
- reviewdog/action-setup@f0d342d
- https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup
- https://nvd.nist.gov/vuln/detail/CVE-2025-30154
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-30154
安全信息
发布时间: 2025年3月19日 最后更新: 2025年10月22日 严重等级: 高危 CVSS总体评分: 8.6
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 影响范围: 已更改
- 机密性影响: 高
- 完整性影响: 无
- 可用性影响: 无
- 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:H
EPSS 分数
- EPSS分数: 17.943% (第95百分位)
此分数估计该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
- 弱点: CWE-506 - 嵌入恶意代码
- 产品包含看似具有恶意性质的代码。在MITRE上了解更多信息。
元数据
- CVE ID: CVE-2025-30154
- GHSA ID: GHSA-qmg3-hpqr-gqvc
- 源代码: reviewdog/reviewdog
- 发布者: haya14busa (发布至 reviewdog/reviewdog)
- 致谢: sshayb (报告者), ramimac (报告者)