SonarQube Scan GitHub Action 命令注入漏洞 (CVE-2025-58178) 详解

本文详细披露了SonarQube Scan GitHub Action中的一个高危命令注入漏洞(CVE-2025-58178),该漏洞因未对用户输入进行充分清理,允许攻击者执行任意命令。文章涵盖漏洞影响范围、修复版本以及相关的安全公告链接。

漏洞详情

CVE ID: CVE-2025-58178 GHSA ID: GHSA-f79p-9c5r-xg88 严重程度: 高危 (CVSS 7.8) 发布日期: 2025年9月1日 更新日期: 2025年9月2日

受影响组件

包/组件: actions 仓库: SonarSource/sonarqube-scan-action (GitHub Actions)

受影响版本

大于等于 4.0.0,小于等于 5.3.0 的所有版本。

已修复版本

5.3.1

漏洞描述

在 SonarQube Scan GitHub Action 中发现了一个命令注入漏洞。该漏洞导致发送给该 Action 的不可信输入参数在没有经过适当清理的情况下被处理。这些参数被当作 shell 表达式执行,从而可能允许攻击者执行任意命令。

影响

此漏洞使得攻击者能够利用未经验证的用户输入,在运行该 GitHub Action 的上下文中注入并执行恶意命令,可能导致机密信息泄露、数据完整性破坏或服务中断。

补丁

该漏洞已在 SonarQube Scan GitHub Action 的 v5.3.1 版本中得到修复。

参考链接

技术细节

弱点 (CWE): CWE-77 - 命令中使用的特殊元素中和不当(命令注入) CVSS v3.1 向量: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H EPSS 分数: 0.048% (第15百分位)

致谢

报告者: Torbjorn-Svensson

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次