OZI-Project代码注入漏洞分析与修复方案

OZI-Project/ozi-publish 代码注入漏洞 · CVE-2025-47271

漏洞详情

严重程度：中等
GitHub 评审状态：已评审
发布时间：2025年5月10日
更新日期：2025年5月12日

受影响组件

包名称：actions
项目：OZI-Project/publish (GitHub Actions)

版本影响范围

受影响版本：>= 1.13.2, < 1.13.6
已修复版本：1.13.6

漏洞描述

影响

不受信任的数据可能流入PR创建逻辑。恶意攻击者可以构造分支名称来注入任意代码。

修复补丁

该漏洞已在版本1.13.6中修复

临时解决方案

降级到 <1.13.2 版本

参考信息

• 了解脚本注入风险
• GHSA-2487-9f55-2vg9
• https://nvd.nist.gov/vuln/detail/CVE-2025-47271
• OZI-Project/publish@abd8524

安全评分

CVSS 总体评分

6.3/10（中等严重程度）

CVSS v4 基础指标

可利用性指标：

• 攻击向量：网络
• 攻击复杂度：低
• 攻击要求：无
• 所需权限：低
• 用户交互：无

脆弱系统影响指标：

• 机密性：高
• 完整性：高
• 可用性：高

后续系统影响指标：

• 机密性：无
• 完整性：无
• 可用性：无

弱点分析

CWE-94：代码生成控制不当（代码注入）
产品使用来自上游组件的外部影响输入构建代码段的部分或全部，但未能消除或错误地消除了可能修改预期代码段语法或行为的特殊元素。

CWE-95：动态评估代码中指令的不当中和（Eval注入）
产品从上游组件接收输入，但在动态评估调用中使用该输入之前，未能消除或错误地消除了代码语法。

CWE-1116：不准确的注释
源代码包含的注释未能准确描述或解释与注释关联的代码部分的相关方面。

标识符

CVE ID：CVE-2025-47271
GHSA ID：GHSA-2487-9f55-2vg9
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码