CVE-2024-45798 — 神龙十问 AI 深度分析摘要

🚨 **本质**：GitHub Actions 工作流中的 **命令注入** 漏洞。 💥 **后果**：攻击者可注入恶意代码，导致 **CI/CD 流水线被劫持**，进而污染开源软件供应链。

🔍 **CWE**：CWE-20 (输入验证不当)。 📍 **缺陷点**：`tests_results.yml` 工作流未正确过滤 **环境变量** 和 **用户输入**，导致代码执行。

📦 **组件**：Espressif 的 **arduino-esp32** 项目。 🏷️ **版本**：commit `26db8cba32e77050f177e8cb0f879614c57bc5f2` 及受影响版本。

👑 **权限**：CVSS 评分极高 (H/H/H)，攻击者可获取 **CI 环境的高权限**。 📂 **数据**：可窃取 **仓库密钥**、源码，甚至向下游用户分发 **恶意固件**。

🔓 **门槛**：CVSS 显示 **PR:L** (需低权限认证)。 ⚙️ **配置**：通常利用 **Fork Pull Request** 机制，无需直接入侵服务器，利用 GitHub Actions 特性即可。

🧪 **Exp**：数据中 `pocs` 为空，暂无公开 PoC。 🌍 **在野**：暂无在野利用报告，但属于 **供应链攻击** 高危类型，需警惕。

🔎 **自查**：检查 GitHub 仓库的 `.github/workflows/` 目录。 📝 **特征**：查找 `tests_results.yml` 中是否直接拼接 **未经过滤的变量** 到 shell 命令中。

🛡️ **官方**：已发布安全公告 (GHSA-h52q-xhg2-6jw8)。 🔧 **修复**：建议升级至 **最新安全版本**，并遵循 GitHub 最佳实践修复工作流。

⏸️ **临时**：若无法立即升级，可 **禁用 Fork PR 的 CI 触发**。 🚫 **限制**：限制工作流中可访问的 **敏感环境变量**，避免泄露密钥。

🔥 **优先级**：**高**。 💡 **建议**：作为开源核心库，供应链风险极大。建议 **立即评估** 影响范围，优先修复 CI 配置。