CVE-2023-52137
漏洞描述
tj-actions/verify-changed-files操作中存在命令注入漏洞,通过更改的文件名允许攻击者执行任意代码并可能泄露秘密。verify-changed-files工作流返回在工作流执行期间更改的文件列表。如果文件名包含诸如 ; 之类的特殊字符,攻击者可以利用它们在run块中以原始方式使用输出值(直接替换后执行),从而接管GitHub Runner。通过运行自定义命令,攻击者可能能够窃取如GITHUB_TOKEN等秘密,尤其是在触发非pull_request事件时。
该漏洞在版本17和17.0.0中已被修复,通过默认启用safe_output并返回对bash环境中特殊字符进行转义的文件路径。
安全风险CVSS等级评估
| 基础分数 | 风险等级 | 可利用性评分 |
|---|---|---|
| 8.8 | HIGH | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
细节文章
CVSS scores for CVE-2023-52137:https://github.com/tj-actions/verify-changed-files/security/advisories/GHSA-ghm2-rq8q-wrhc
CWE ids for CVE-2023-52137:https://github.com/tj-actions/verify-changed-files/commit/592e305da041c09a009afa4a43c97d889bed65c3
References for CVE-2023-52137:https://github.com/tj-actions/verify-changed-files/commit/498d3f316f501aa72485060e8c96fde7b2014f12
© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
暂无评论内容