漏洞详情:CVE-2025-30154
概述
reviewdog/action-setup@v1 动作于 2025年3月11日 18:42 至 20:31 UTC 期间遭到入侵,被添加了恶意代码,该代码会将暴露的敏感信息(Secrets)转储到 GitHub Actions 工作流日志中。
由于存在依赖关系,所有使用 reviewdog/action-setup@v1 的其他 Reviewdog 动作,无论其版本或引用方式如何,均会受到影响。
受影响的动作
reviewdog/action-shellcheckreviewdog/action-composite-templatereviewdog/action-staticcheckreviewdog/action-ast-grepreviewdog/action-typos
技术细节
- 恶意提交:
reviewdog/action-setup@f0d342d - 修复及重新标记的提交:
reviewdog/action-setup@3f401fe - 关于此攻击的详细分析报告,请参阅 Wiz Research 发布的博客文章:Wiz Blog Post,以及 Reviewdog 维护者的公告:reviewdog #2079。
安全评级
- 严重等级:高
- CVSS 3.1 综合评分:8.6
- CVSS v3 基础指标:
- 攻击途径 (AV):网络
- 攻击复杂度 (AC):低
- 所需权限 (PR):无
- 用户交互 (UI):无
- 影响范围 (S):改变
- 机密性影响 (C):高
- 完整性影响 (I):无
- 可用性影响 (A):无
- EPSS 评分:17.943%(未来30天内被利用的概率,处于第95百分位数)
相关链接与引用
- GHSA-qmg3-hpqr-gqvc
- reviewdog/reviewdog#2079
- reviewdog/action-setup@3f401fe
- reviewdog/action-setup@f0d342d
- www.wiz.io/blog/new-gi…
- nvd.nist.gov/vuln/detail…
- www.cisa.gov/known-explo…
漏洞编号与发现者
- CVE ID:CVE-2025-30154
- GHSA ID:GHSA-qmg3-hpqr-gqvc
- 报告者:sshayb, ramimac
- 源代码仓库:reviewdog/reviewdog
注意:此安全公告已于2025年10月22日更新。
