SonarQube Scan Action参数注入漏洞分析

本文详细分析了SonarQube GitHub Action在6.0.0版本之前存在的命令注入漏洞CVE-2025-59844。该漏洞影响Windows运行器,允许攻击者通过args参数执行任意命令,可能导致敏感环境变量泄露和运行环境被完全控制。

Argument injection vulnerability in SonarQube Scan Action · CVE-2025-59844 · GitHub Advisory Database

漏洞详情

: actions
仓库: SonarSource/sonarqube-scan-action (GitHub Actions)

受影响版本

= 4.0.0, < 6.0.0

已修复版本

6.0.0

漏洞描述

SonarQube GitHub Action在v6.0.0之前版本存在命令注入漏洞。当工作流在Windows运行器上向args参数传递用户控制的输入且未进行适当验证时,攻击者可利用此漏洞绕过之前的安全修复,执行任意命令。这可能导致敏感环境变量暴露和运行环境被完全控制。

修复措施

该漏洞已在v6.0.0版本中修复,用户应升级到此版本或更高版本。

致谢

Francois Lajeunesse-Robert (Boostsecurity.io)

参考链接

漏洞标识

  • CVE ID: CVE-2025-59844
  • GHSA ID: GHSA-5xq9-5g24-4g6f

严重程度

高危 - CVSS评分: 7.7/10

CVSS v4基础指标

  • 攻击向量: 网络
  • 攻击复杂度: 低
  • 攻击要求: 存在
  • 所需权限: 低
  • 用户交互: 无

受影响系统影响指标

  • 机密性: 高
  • 完整性: 高
  • 可用性: 高

弱点分类

CWE-78: 操作系统命令中使用的特殊元素的不当中和(OS命令注入)

产品使用来自上游组件的外部影响输入构建全部或部分操作系统命令,但在将其发送到下游组件时,未能中和或错误地中和可能修改预期操作系统命令的特殊元素。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次