CVE-2025-59844:SonarQube扫描动作中的参数注入漏洞
漏洞概述
在SonarQube GitHub Action v6.0.0之前的版本中存在一个命令注入漏洞。当工作流在Windows运行器上向args参数传递用户控制的输入且未经过适当验证时,攻击者可以利用此漏洞绕过之前的安全修复措施,执行任意命令。
影响范围
- 受影响版本: >= 4.0.0, < 6.0.0
- 已修复版本: 6.0.0
- 漏洞严重等级: 高危 (CVSS 分数: 7.7)
漏洞详情
此漏洞属于 OS命令注入 (CWE-78) 类型。具体而言,当工作流配置使用args参数(该参数接收用户输入)在Windows平台的GitHub Actions运行器上执行时,由于缺乏充分的输入验证和净化,恶意构造的输入可以被注入并作为系统命令的一部分执行。
潜在后果包括:
- 敏感环境变量的泄露。
- 运行器环境的完全被控。
修复与缓解措施
官方修复: 该漏洞已在 v6.0.0 版本中得到修复。所有用户应立即升级到此版本或更高版本。
升级链接:
参考信息
- 社区公告: SonarQube Scanner GitHub Action v6
- GitHub安全公告: GHSA-5xq9-5g24-4g6f
- NVD漏洞详情: CVE-2025-59844
漏洞贡献者
Francois Lajeunesse-Robert (Boostsecurity.io)
技术说明(CVSS v4 指标)
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 对脆弱系统的影响: 机密性、完整性、可用性均为高
- 弱点类型: CWE-78 - OS命令中使用的特殊元素中和不当(命令注入)