漏洞详情
摘要
reviewdog/action-setup@v1 于2025年3月11日UTC时间18:42至20:31期间被入侵,被添加了恶意代码,该代码会将暴露的密钥信息转储到GitHub Actions工作流日志中。
其他使用 reviewdog/action-setup@v1 的reviewdog actions同样会受到影响,无论其使用何种版本或固定方式:
reviewdog/action-shellcheckreviewdog/action-composite-templatereviewdog/action-staticcheckreviewdog/action-ast-grepreviewdog/action-typos
详情
- 恶意提交:
reviewdog/action-setup@f0d342d - 通过版本升级进行的修复/重新标记:
reviewdog/action-setup@3f401fe
参考链接
- GHSA-qmg3-hpqr-gqvc
- reviewdog/reviewdog#2079
- reviewdog/action-setup@3f401fe
- reviewdog/action-setup@f0d342d
- https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup
- https://nvd.nist.gov/vuln/detail/CVE-2025-30154
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-30154
技术信息
受影响版本
- 包:
actions - 具体组件:
reviewdog/action-setup(GitHub Actions) - 受影响版本:
= 1 - 已修补版本:无
严重性
- 评级:高
- CVSS总体评分:8.6
CVSS v3 基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:已更改
- 机密性影响:高
- 完整性影响:无
- 可用性影响:无
- CVSS向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:H
弱点
- CWE-506:嵌入恶意代码
- 描述:产品包含看似具有恶意性质的代码。
其他标识符
- CVE ID:CVE-2025-30154
- GHSA ID:GHSA-qmg3-hpqr-gqvc
来源仓库
- reviewdog/reviewdog
致谢
- 报告者:sshayb
- 报告者:ramimac
时间线
- 由 haya14busa 发布到 reviewdog/reviewdog 仓库:2025年3月19日
- 发布到 GitHub 咨询数据库:2025年3月19日
- 已审核:2025年3月19日
- 由美国国家漏洞数据库发布:2025年3月19日
- 最后更新:2025年10月22日
EPSS 评分
- 评分:17.943% (第95百分位)
- 说明:此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。