Command Injection via sonarqube-scan-action GitHub Action · CVE-2025-58178
高严重性
- 发布时间: 2025年9月1日
- 更新时间: 2025年9月2日
漏洞详情
包: SonarSource/sonarqube-scan-action (GitHub Actions)
受影响版本: >= 4.0.0, <= 5.3.0
已修复版本: 5.3.1
描述
影响
在 SonarQube Scan GitHub Action 中发现了一个命令注入漏洞,该漏洞允许未受信任的输入参数在未经正确净化的状态下被处理。发送给该 Action 的参数被当作 shell 表达式处理,从而导致可能执行任意命令。
补丁
该修复已在 SonarQube Scan GitHub Action v5.3.1 版本中发布。
参考资料
- GHSA-f79p-9c5r-xg88
- SonarSource/sonarqube-scan-action#200
- SonarSource/sonarqube-scan-action@016cabf
- community.sonarsource.com/t/security-…
- sonarsource.atlassian.net/browse/SQSC…
严重性评分
高 (7.8)
CVSS v3 基础指标
| 指标 | 值 |
|---|---|
| 攻击向量 | 本地 |
| 攻击复杂度 | 低 |
| 所需权限 | 低 |
| 用户交互 | 无 |
| 范围 | 未改变 |
| 机密性 | 高 |
| 完整性 | 高 |
| 可用性 | 高 |
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
EPSS 评分
0.027% (第7百分位)
该评分估算了此漏洞在未来30天内被利用的概率。
弱点
CWE-77: 命令中使用的特殊元素未进行适当的中和(命令注入)
该产品使用来自上游组件的受外部影响的输入来构建命令的全部或部分,但在将命令发送到下游组件时,未对可能修改预期命令的特殊元素进行中和或错误地进行中和。
标识符
- CVE ID: CVE-2025-58178
- GHSA ID: GHSA-f79p-9c5r-xg88
- 源代码: SonarSource/sonarqube-scan-action
贡献者
- 报告者: Torbjorn-Svensson glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxfCGTAmeeSSpu1jomHXR8dTCdL/ELQbMAXKmXVT+AmDqQ==
