关键漏洞信息 漏洞概述 漏洞名称: Secrets exfiltration via 严重性: Critical (9.1/10) CVE ID: CVE-2025-53546 受影响版本: < 585c6a591440cd39f92374230ac5d65d7dd23d6a 修复版本: 585c6a591440cd39f92374230ac5d65d7dd23d6a 漏洞描述 摘要: 使用 在 中,攻击者可以利用此漏洞执行不受信任的代码,并完全访问仓库中的秘密。通过利用此漏洞,攻击者可以窃取具有高权限的 ,并接管整个仓库。 详细信息: 在 GitHub Actions 中是一个主要的安全问题,特别是在公共仓库中,因为它在 PR 的上下文中执行不受信任的代码,但具有基础仓库的上下文和秘密访问权限。 影响 影响: 攻击者可以通过 和写入权限完全接管仓库。 修复建议 修复措施: 建议从所有工作流中移除 ,并在包含它的所有分支中移除或修复它,以避免检查出不受信任的代码。还建议根据工作流的实际需求正确设置 权限,限制不必要的权限。 报告者与修复者 报告者: @darryk10, @AlbertoPellitteri 修复开发者: DIYgod