命令注入漏洞通过SonarQube扫描GitHub Action · CVE-2025-58178

攻击向量: 本地
攻击复杂度: 低
所需权限: 低
用户交互: 无
范围: 未改变
机密性: 高
完整性: 高
可用性: 高

漏洞详情

包: actions
受影响版本: >= 4.0.0, <= 5.3.0
修复版本: 5.3.1
严重程度: 高危
CVSS评分: 7.8

在SonarQube Scan GitHub Action中发现了一个命令注入漏洞，该漏洞允许未经适当清理的处理不受信任的输入参数。发送到该操作的参数被当作shell表达式处理，可能导致任意命令执行。

修复已在SonarQube Scan GitHub Action v5.3.1版本中发布。

CWE-77: 命令中使用的特殊元素的不当中和（命令注入）

产品使用来自上游组件的外部影响输入构建全部或部分命令，但在将命令发送到下游组件时，没有中和或错误地中和了可能修改预期命令的特殊元素。