@actions/download-artifact 存在通过工件提取实现任意文件写入的漏洞
漏洞标识符:GHSA-cxww-7g56-2vh6
严重等级:高 (CVSS 8.6)
发布状态:已于2024年9月2日发布至 actions/download-artifact 仓库,并于2024年9月3日纳入GitHub安全公告数据库审核,最后更新于2025年1月22日。
漏洞详情
影响
actions/download-artifact 在 4.1.3 之前的版本容易受到任意文件写入攻击。当下载和提取一个包含路径遍历文件名的特制工件时,此漏洞可能被利用。
受影响的版本
= 4.0.0, < 4.1.3
已修复的版本 4.1.3
修复方案
升级到 4.1.3 或更高版本。或者,使用指向最新安全版本的 v4 标签。
技术背景与参考
相关漏洞研究
- Snyk 关于 ZIP Slip 漏洞的研究:snyk.io/research/zi…
- 修复版本发布页面:github.com/actions/dow…
标识符
- CVE ID: CVE-2024-42471
- GHSA ID: GHSA-cxww-7g56-2vh6
- 相关 GHSA: GHSA-6q32-hq47-5qq3
致谢 此漏洞由 Google 的 Justin Taft 发现。
安全评分详情 (CVSS v4.0)
总体基本评分: 8.6 / 10 (高)
CVSS v4.0 基本指标向量:
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
可利用性指标:
- 攻击向量 (AV): 网络 (N)
- 攻击复杂度 (AC): 低 (L)
- 攻击要求 (AT): 无 (N)
- 所需权限 (PR): 低 (L)
- 用户交互 (UI): 无 (N)
脆弱系统影响指标:
- 机密性 (VC): 高 (H)
- 完整性 (VI): 高 (H)
- 可用性 (VA): 无 (N)
后续系统影响指标:
- 机密性 (SC): 无 (N)
- 完整性 (SI): 无 (N)
- 可用性 (SA): 无 (N)
弱点分类
相关弱点
- CWE-ID: CWE-22
- 弱点名称: 对受限目录的路径名限制不当(路径遍历)
- 描述: 该产品使用外部输入来构造旨在标识位于受限父目录下的文件或目录的路径名,但产品未能正确消除路径名中的特殊元素,这些元素可能导致路径名解析到受限目录之外的位置。
发布者: joshmgross (发布至 actions/download-artifact)
分析师: holmanb
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxd2gcWS18olPgEjmuun73Xy6uphA7rNZRF24OzI51db1g==
