关键漏洞信息 漏洞概述 名称: Repository Takeover and Secret Exfiltration 严重性: High CVE ID: CVE-2025-54415 受影响的包: github.com/astronomer/dag-factory (GitHub Actions) 报告者: @darryk10 和 @AlbertoPellitteri 描述 漏洞类型: 高严重性漏洞存在于 工作流中,当由 触发时,允许攻击者在 GitHub Actions 运行器环境中执行任意代码。 影响: - 仓库接管: 攻击者可以完全更改仓库内容、创建或修改现有发布和标签,并操纵现有工作流。 - 秘密泄露: 存储在仓库中的所有秘密(包括具有写权限的 )可以被泄露。 - 任意代码执行: 在 GitHub Actions 运行器上执行任意命令的能力。 影响范围 受影响版本: 在提交 之前的版本。 修复版本: 提交 及之后的所有版本。 证明概念 (PoC) 拉取请求: #459 测试标签: 创建并随后删除了临时标签 以验证利用的成功。 解决方案 禁用 GitHub Actions: 在仓库的分叉上禁用 GitHub Actions 可以防止未经授权用户的滥用。 修改工作流: 禁用或修改 工作流以移除 触发器或对不受信任的输入实施严格的输入验证。 限制权限: 建议将 权限限制为只读级别。 参考 添加授权条件到动作: #460 修改动作触发器: #466