关键信息 漏洞标识 GHSL编号: GHSL-2025-101 CVE编号: CVE-2025-55192 严重性: 高 影响 漏洞类型: 代码注入 受影响的文件: 影响范围: 仅影响GitHub Actions环境,不影响Home Assistant集成用户 具体问题: 漏洞工作流直接将用户控制的内容插入到Bash条件中,未进行适当清理,允许恶意GitHub用户在打开问题时执行任意命令。 修复措施 修复方法: - 移除直接的shell评估用户输入 - 切换到 以安全地进行JavaScript中的字符串匹配 - 在Bash中引用变量并避免命令替换 修复版本: commit 或更高版本 解决方案 立即升级: 更新 以匹配修复版本 临时解决: - 禁用受影响的工作流直到应用修复 - 替换不安全的Bash比较为安全的、带引号的 或纯GitHub Actions表达式检查 - 确保工作流中的最小权限设置以减少可能的影响 参考资料 GitHub Security Lab报告(披露前私密) GitHub Actions安全最佳实践 安全使用参考 CWE-94: 不当控制生成代码