命令注入漏洞分析：SonarQube Scan GitHub Action

漏洞概述

在SonarQube Scan GitHub Action中发现了一个命令注入漏洞，该漏洞允许未经适当清理的不受信任输入参数被处理。发送到该操作的参数被当作shell表达式处理，可能导致任意命令执行。

该漏洞被归类为CWE-77弱点，即"命令中使用的特殊元素的不当中和"（命令注入）。产品使用来自上游组件的外部影响输入构建全部或部分命令，但在将命令发送到下游组件时，未能中和或错误地中和可能修改预期命令的特殊元素。

严重等级：高
CVSS评分：7.8/10
CVSS v3基础指标：
- 攻击向量：本地
- 攻击复杂度：低
- 所需权限：低
- 用户交互：无
- 范围：未改变
- 机密性：高
- 完整性：高
- 可用性：高

修复已在SonarQube Scan GitHub Action v5.3.1中发布。相关参考包括安全公告GHSA-f79p-9c5r-xg88和社区讨论链接。

该漏洞允许攻击者通过精心构造的输入参数在受影响的系统中执行任意命令，可能导致系统完全被控制，对机密性、完整性和可用性都构成严重威胁。