命令注入漏洞分析：SonarQube Scan GitHub Action

漏洞概述

CVE ID: CVE-2025-58178
GHSA ID: GHSA-f79p-9c5r-xg88
严重程度: 高危（CVSS评分7.8）

受影响版本

• 受影响版本：>= 4.0.0, <= 5.3.0
• 已修复版本：5.3.1

漏洞详情

漏洞描述

在SonarQube Scan GitHub Action中发现了一个命令注入漏洞，该漏洞允许未经适当清理的不受信任输入参数被处理。发送给该操作的参数被当作shell表达式处理，可能导致任意命令执行。

技术分析

该漏洞属于命令注入类别（CWE-77），具体表现为：

• 攻击向量: 本地
• 攻击复杂度: 低
• 所需权限: 低
• 用户交互: 无
• 影响范围: 未改变
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 高

CVSS v3.1基准指标

1

AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

修复措施

补丁信息

修复已发布在SonarQube Scan GitHub Action v5.3.1版本中。

参考链接

• GHSA-f79p-9c5r-xg88
• SonarSource/sonarqube-scan-action#200
• SonarSource/sonarqube-scan-action@016cabf
• https://community.sonarsource.com/t/security-advisory-sonarqube-scanner-github-action/147696
• https://sonarsource.atlassian.net/browse/SQSCANGHA-101

弱点分类

CWE-77: 命令中使用的特殊元素的不当中和（命令注入）

产品使用来自上游组件的外部影响输入构建全部或部分命令，但在将命令发送到下游组件时，没有中和或错误地中和了可能修改预期命令的特殊元素。

贡献者信息

报告者: Torbjorn-Svensson
发布者: chirag-goel-sonarsource
发布时间: 2025年9月1日
最后更新: 2025年9月2日