关键信息 漏洞概述 漏洞名称: Command Injection Vulnerability in tj-actions/branch-names 严重性: Critical (9.1/10) CVE ID: CVE-2025-54416 受影响版本: =9.0.0, >=9 技术细节 问题根源: 由于在代码库中不安全地使用了 模式,导致任意命令注入风险。 示例代码: 影响 潜在后果: - 窃取存储在仓库中的敏感秘密。 - 对仓库的未经授权写入访问。 - 妥协仓库的完整性和安全性。 缓解和解决 推荐修复: 推荐措施 1. 立即行动: 使用 tj-actions/branch-names 工作流的开发者应将其工作流更新到最新主要版本 v9。