GitHub Actions 供应链攻击:Reviewdog 多个动作在特定时间段遭入侵
漏洞详情:CVE-2025-30154
概述
reviewdog/action-setup@v1 动作于 2025 年 3 月 11 日 18:42 至 20:31 UTC 期间遭到入侵,被添加了恶意代码,该代码会将暴露的敏感信息(Secrets)转储到 GitHub Actions 工作流日志中。
由于存在依赖关系,所有使用 reviewdog/action-setup@v1 的其他 Reviewdog 动作,无论其版本或引用方式如何,均会受到影响。
受影响的动作
reviewdog/action-shellcheckreviewdog/action-composite-templatereviewdog/action-staticcheckreviewdog/action-ast-grepreviewdog/action-typos
技术细节
恶意提交:
reviewdog/action-setup@f0d342d修复及重新标记的提交:
reviewdog/action-setup@3f401fe关于此攻击的详细分析报告,请参阅 Wiz Research 发布的博客文章:Wiz Blog Post,以及 Reviewdog 维护者的公告:reviewdog #2079。
安全评级
严重等级:高
CVSS 3.1 综合评分:8.6
CVSS v3 基础指标:
攻击途径 (AV):网络
攻击复杂度 (AC):低
所需权限 (PR):无
用户交互 (UI):无
影响范围 (S):改变
机密性影响 (C):高
完整性影响 (I):无
可用性影响 (A):无
EPSS 评分:17.943%(未来 30 天内被利用的概率,处于第 95 百分位数)
相关链接与引用
GHSA-qmg3-hpqr-gqvc
reviewdog/reviewdog#2079
reviewdog/action-setup@3f401fe
reviewdog/action-setup@f0d342d
https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup
https://nvd.nist.gov/vuln/detail/CVE-2025-30154
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-30154
漏洞编号与发现者
CVE ID:CVE-2025-30154
GHSA ID:GHSA-qmg3-hpqr-gqvc
报告者:sshayb, ramimac
源代码仓库:reviewdog/reviewdog
注意:此安全公告已于 2025 年 10 月 22 日更新。更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
还未添加个人签名 2021-05-19 加入
还未添加个人简介
评论