GitHub Actions 供应链攻击:Reviewdog 多个动作在特定时间段遭入侵
漏洞详情:CVE-2025-30154
概述
reviewdog/action-setup@v1 动作于 2025年3月11日 18:42 至 20:31 UTC 期间遭到入侵,被添加了恶意代码,该代码会将暴露的敏感信息(Secrets)转储到 GitHub Actions 工作流日志中。
由于存在依赖关系,所有使用 reviewdog/action-setup@v1 的其他 Reviewdog 动作,无论其版本或引用方式如何,均会受到影响。
受影响的动作
reviewdog/action-shellcheckreviewdog/action-composite-templatereviewdog/action-staticcheckreviewdog/action-ast-grepreviewdog/action-typos
技术细节
- 恶意提交:
reviewdog/action-setup@f0d342d - 修复及重新标记的提交:
reviewdog/action-setup@3f401fe - 关于此攻击的详细分析报告,请参阅 Wiz Research 发布的博客文章:Wiz Blog Post,以及 Reviewdog 维护者的公告:reviewdog #2079。
安全评级
- 严重等级:高
- CVSS 3.1 综合评分:8.6
- CVSS v3 基础指标:
- 攻击途径 (AV):网络
- 攻击复杂度 (AC):低
- 所需权限 (PR):无
- 用户交互 (UI):无
- 影响范围 (S):改变
- 机密性影响 (C):高
- 完整性影响 (I):无
- 可用性影响 (A):无
- EPSS 评分:17.943%(未来30天内被利用的概率,处于第95百分位数)
相关链接与引用
- GHSA-qmg3-hpqr-gqvc
- reviewdog/reviewdog#2079
- reviewdog/action-setup@3f401fe
- reviewdog/action-setup@f0d342d
- https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup
- https://nvd.nist.gov/vuln/detail/CVE-2025-30154
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-30154
漏洞编号与发现者
- CVE ID:CVE-2025-30154
- GHSA ID:GHSA-qmg3-hpqr-gqvc
- 报告者:sshayb, ramimac
- 源代码仓库:reviewdog/reviewdog
注意:此安全公告已于2025年10月22日更新。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号