根据提供的网页截图,以下是从该漏洞报告中提取的关键信息,使用简洁的 markdown 格式呈现: 漏洞概述 漏洞名称: ANSI escape sequences not being sanitized in user input 发布者: caarlos0 漏洞ID: GHSA-fv2r-r8mp-pg48 发布时间: 3 days ago 相对应的CVE编号: CVE-2025-64494 影响范围 受影响版本: <= v0.10.0 修复版本: v0.11.0 影响详情 漏洞描述: 在多个用户可插入数据的地方(例如名字),ANSI转义序列没有被正确清理,可被用于伪造报警等恶意用途。 具体发现场景: 1. 仓库描述(pkg/backend/repo.go - SetDescription) 2. 仓库项目名(pkg/backend/repo.go - SetProjectName) 3. Git提交作者名(pkg/ssh/cmd/commit.go:69) 4. Git提交信息(pkg/ssh/cmd/commit.go:71) 5. 访问令牌名(pkg/ssh/cmd/token.go:107) 6. Webhook URL(pkg/ssh/cmd/webhooks.go:72) 修复及应对措施 已发布修复版本: v0.11.0 暂无其它临时缓解措施 漏洞评估 严重程度: 中等(Moderate),CVSS v3得分4.6/10 CVSS v3评估指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 权限要求: 低 - 用户交互: 必需 - 影响范围: 不变 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 相关参与者 报告人: Tomer-PL 修复开发者: caarlos0 已知弱点 相关CWE编号: CWE-150