SonarQube扫描动作参数注入漏洞分析

本文详细分析了SonarQube GitHub Action在Windows运行器上存在的参数注入漏洞CVE-2025-59844，该漏洞可导致任意命令执行，影响版本4.0.0至6.0.0之前，建议升级到6.0.0版修复。

参数注入漏洞：SonarQube扫描动作·CVE-2025-59844

漏洞详情

包名称: actions
受影响仓库: SonarSource/sonarqube-scan-action (GitHub Actions)
受影响版本: >= 4.0.0, < 6.0.0
已修复版本: 6.0.0
严重程度: 高危 (CVSS评分7.7)

漏洞描述

SonarQube GitHub Action在v6.0.0之前的版本中存在命令注入漏洞。当工作流在Windows运行器上将用户控制的输入传递给args参数且未进行适当验证时，攻击者可利用此漏洞绕过之前的安全修复措施，执行任意命令。这可能导致敏感环境变量泄露和运行器环境被破坏。

修复方案

该漏洞已在v6.0.0版本中修复，用户应升级到此版本或更高版本。

参考信息

社区帖子: https://community.sonarsource.com/t/sonarqube-scanner-github-action-v6/149281
修复发布: https://github.com/SonarSource/sonarqube-scan-action/releases/tag/v6.0.0
GHSA ID: GHSA-5xq9-5g24-4g6f
NVD详情: https://nvd.nist.gov/vuln/detail/CVE-2025-59844

技术细节

弱点类型: CWE-78 - 操作系统命令中使用的特殊元素的不当中和（OS命令注入）

CVSS v4基础指标:

攻击向量: 网络
攻击复杂度: 低
攻击要求: 存在
权限要求: 低
用户交互: 无
受影响系统机密性: 高
受影响系统完整性: 高
受影响系统可用性: 高

时间线

发现者: Francois Lajeunesse-Robert (Boostsecurity.io)
发布: 2025年9月25日
更新: 2025年9月29日
GitHub咨询数据库发布: 2025年9月26日
国家漏洞数据库发布: 2025年9月26日

comments powered by Disqus