Reviewdog Actions供应链攻击事件深度解析

本文详细分析了CVE-2025-30154漏洞,涉及多个Reviewdog GitHub Actions在特定时间段被植入恶意代码,导致敏感信息泄露的安全事件及其技术细节。

CVE-2025-30154:多个Reviewdog Actions在特定时间段遭入侵

漏洞详情

包名称: actions
受影响组件: reviewdog/action-setup (GitHub Actions)

受影响版本: = 1
已修复版本: 无

漏洞描述

概述

reviewdog/action-setup@v1 在2025年3月11日18:42至20:31 UTC期间遭到入侵,恶意攻击者添加了能够将暴露的密钥转储到GitHub Actions工作流日志中的恶意代码。

其他使用reviewdog/action-setup@v1的reviewdog actions同样受到影响,无论其版本或固定方法如何:

  • reviewdog/action-shellcheck
  • reviewdog/action-composite-template
  • reviewdog/action-staticcheck
  • reviewdog/action-ast-grep
  • reviewdog/action-typos

技术细节

  • 恶意提交: reviewdog/action-setup@f0d342d
  • 修复/重新标记版本: reviewdog/action-setup@3f401fe

安全评分

严重等级: 高危
CVSS总体评分: 8.6/10

CVSS v3基础指标

  • 攻击向量: 网络
  • 攻击复杂度: 低
  • 所需权限: 无
  • 用户交互: 无
  • 范围: 已更改
  • 机密性影响: 高
  • 完整性影响: 无
  • 可用性影响: 无

参考链接

  • GHSA-qmg3-hpqr-gqvc
  • reviewdog/reviewdog#2079
  • Wiz研究报告博客文章
  • 国家漏洞数据库(NVD)详情
  • CISA已知被利用漏洞目录
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次