关键漏洞信息 漏洞概述 CVE编号: CVE-2025-10283, CVE-2025-10284 严重性: 中等 (4.7), 严重 (9.6) 受影响版本: BBOT 2.7.0 及更早版本 具体漏洞详情 CVE-2025-10283 - GitLab 域名混淆导致 GitLab API 密钥泄露 描述: 在使用 GitLab API 密钥执行扫描时,BBOT 主机上的 Web 服务器会泄露 API 密钥。 修复措施: 将 GitLab 分离为两个模块:一个用于私有 GitLab,另一个用于 GitLab.com。 CVE-2025-10284 - gitdumper 和 unarchive 中的不正确文件路径清理导致 RCE 描述: - gitdumper: 下载并检查恶意 Git 存储库时,可能导致 RCE。 - unarchive: 特殊制作的压缩存档(如 .tar 文件)在解压时可能写入任意文件,导致 RCE。 修复措施: - 对 git 配置和所有钩子进行积极清理。 - 在目标文件夹已存在时中止解压过程。 披露时间线 初始披露: 2025 年 7 月 4 日 最终补丁发布: 2025 年 9 月 11 日 CVE 发布: 2025 年 9 月 17 日 更新指南 使用以下命令更新 BBOT: 如何报告漏洞 通过 GitHub 的安全顾问功能报告漏洞: https://github.com/blacklanternsecurity/bbot/security/advisories/new