https://blog.qife122.com/tags/github%E5%8A%A8%E4%BD%9C/ Recent content in GitHub动作 on 办公AI智能小助手 Hugo zh-cn qife Sun, 02 Nov 2025 05:16:56 +0800 https://blog.qife122.com/p/sonarqube%E6%89%AB%E6%8F%8F%E5%8A%A8%E4%BD%9C%E5%8F%82%E6%95%B0%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sun, 02 Nov 2025 05:16:56 +0800 https://blog.qife122.com/p/sonarqube%E6%89%AB%E6%8F%8F%E5%8A%A8%E4%BD%9C%E5%8F%82%E6%95%B0%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="参数注入漏洞sonarqube扫描动作cve-2025-59844">参数注入漏洞：SonarQube扫描动作·CVE-2025-59844</h1> <h2 id="漏洞详情">漏洞详情</h2> <p><strong>包名称</strong>: actions<br> <strong>受影响仓库</strong>: SonarSource/sonarqube-scan-action (GitHub Actions)<br> <strong>受影响版本</strong>: &gt;= 4.0.0, &lt; 6.0.0<br> <strong>已修复版本</strong>: 6.0.0<br> <strong>严重程度</strong>: 高危 (CVSS评分7.7)</p> <h2 id="漏洞描述">漏洞描述</h2> <p>SonarQube GitHub Action在v6.0.0之前的版本中存在命令注入漏洞。当工作流在Windows运行器上将用户控制的输入传递给args参数且未进行适当验证时，攻击者可利用此漏洞绕过之前的安全修复措施，执行任意命令。这可能导致敏感环境变量泄露和运行器环境被破坏。</p>