Featured image of post SonarQube扫描Action曝命令注入漏洞,GitHub工作流安全风险需警惕

SonarQube扫描Action曝命令注入漏洞,GitHub工作流安全风险需警惕

文章详细分析了CVE-2025-58178漏洞,该漏洞存在于SonarQube Scan GitHub Action中,由于对不可信的输入参数未进行充分清理,可能导致任意命令执行。影响版本为4.0.0至5.3.0,已发布5.3.1版修复。

漏洞详情

CVE ID: CVE-2025-58178 GHSA ID: GHSA-f79p-9c5r-xg88 漏洞类型: 命令注入 CVSS 3.1 评分: 7.8 (高危) 发布状态: GitHub已审核 发布时间: 2025年9月1日 最后更新: 2025年9月2日

影响范围

受影响的包: actions (GitHub Actions) 具体仓库: SonarSource/sonarqube-scan-action 受影响版本: >= 4.0.0,<= 5.3.0 已修复版本: 5.3.1

漏洞描述

影响

在SonarQube Scan GitHub Action中发现了一个命令注入漏洞。该漏洞允许未经验证的输入参数在没有适当清理的情况下被处理。发送给该Action的参数被当作shell表达式处理,这可能导致任意命令被执行。

补丁

修复已在SonarQube Scan GitHub Action v5.3.1版本中发布。

技术细节

CVSS v3 基础指标

  • 攻击向量 (AV): 本地 (L)
  • 攻击复杂度 (AC): 低 (L)
  • 所需权限 (PR): 低 (L)
  • 用户交互 (UI): 无 (N)
  • 影响范围 (S): 未改变 (U)
  • 机密性影响 (C): 高 (H)
  • 完整性影响 (I): 高 (H)
  • 可用性影响 (A): 高 (H)

弱点和分类

  • 弱点 (CWE): CWE-77
  • 描述: 对命令中使用的特殊元素的不当中和(命令注入)。产品使用来自上游组件的外部影响输入来构造全部或部分命令,但在将其发送到下游组件时,未能中和或错误地中和可能修改预期命令的特殊元素。

参考链接

  1. GHSA-f79p-9c5r-xg88
  2. SonarSource/sonarqube-scan-action#200
  3. SonarSource/sonarqube-scan-action@016cabf
  4. https://community.sonarsource.com/t/security-advisory-sonarqube-scanner-github-action/147696
  5. https://sonarsource.atlassian.net/browse/SQSCANGHA-101

相关指标

  • EPSS 分数: 0.048% (第15百分位) 此分数估计了该漏洞在未来30天内被利用的概率。

致谢

报告者: Torbjorn-Svensson

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次