SonarQube扫描动作中的参数注入漏洞分析

本文详细分析了SonarQube GitHub Action在6.0.0之前版本存在的命令注入漏洞CVE-2025-59844,该漏洞允许攻击者在Windows运行器上执行任意命令,可能导致敏感环境变量泄露和运行环境被完全控制。

参数注入漏洞在SonarQube扫描动作中的分析

漏洞详情

包名称: actions
受影响版本: >= 4.0.0, < 6.0.0
修复版本: 6.0.0

漏洞描述

在SonarQube GitHub Action v6.0.0之前的版本中,存在一个命令注入漏洞。当工作流在Windows运行器上将用户控制的输入传递给args参数时,由于缺乏适当的验证,攻击者可以绕过之前的安全修复措施,执行任意命令。此漏洞可能导致敏感环境变量暴露和运行环境被完全控制。

技术细节

该漏洞被归类为CWE-78弱点:操作系统命令中使用的特殊元素的不当中和(OS命令注入)。产品在构建操作系统命令时使用了来自上游组件的外部影响输入,但未能正确中和可能修改预期操作系统命令的特殊元素。

修复方案

该漏洞已在v6.0.0版本中修复,用户应升级到此版本或更高版本。

参考信息

  • 社区帖子:https://community.sonarsource.com/t/sonarqube-scanner-github-action-v6/149281
  • 修复发布:https://github.com/SonarSource/sonarqube-scan-action/releases/tag/v6.0.0
  • GHSA ID:GHSA-5xq9-5g24-4g6f
  • NVD详情:https://nvd.nist.gov/vuln/detail/CVE-2025-59844

CVSS评分

总体评分: 7.7(高危)

CVSS v4基础指标

可利用性指标

  • 攻击向量:网络
  • 攻击复杂度:低
  • 攻击要求:存在
  • 所需权限:低
  • 用户交互:无

脆弱系统影响指标

  • 机密性:高
  • 完整性:高
  • 可用性:高

EPSS评分

利用概率: 0.405%(第60百分位)
此分数估计了该漏洞在接下来30天内被利用的概率。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次