关键信息 漏洞描述 漏洞类型: 命令注入(Command injection) 漏洞名称: 通过构造文件名在 Super-linter Action 中的命令注入 发现者: ferrarimarco CVE ID: CVE-2026-25761 CWE: CWE-77 影响范围 受影响版本: - super-linter/super-linter: >= 6.0.0, = 6.0.0, = 8.3.1 - super-linter/super-linter/slim: >= 8.3.1 严重性 CVSS v3 基本指标: 8.8 / 10 关键指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 需要权限: 无 - 用户交互: 需要 - 范围: 未改变 - 机密性、完整性和可用性影响: 高 漏洞细节 问题根源: Super-linter 逻辑在扫描存储库以检查更改文件时存在问题。 攻击步骤: 1. 使用针对 pull_request 事件运行 Super-linter 的工作流。 2. 提交包含带有命令替换的构造文件名的拉取请求,并包含出站请求,包括 $GITHUB_TOKEN。 3. 运行工作流。 影响 任意命令执行: 在调用 Super-linter 的工作流运行上下文中执行任意命令(通过攻击者控制的文件名触发)。 凭据暴露/滥用: 注入的命令可以读取对操作可用的环境变量,包括 GITHUB_TOKEN。 利用条件 攻击者需要能够运行无需存储库管理员批准的工作流。 推荐措施 审核 workflow_call 和 pull_request_target 工作流,即使不使用 Super-linter。