漏洞关键信息总结 漏洞概述 类型:命令注入漏洞(Command Injection) 位置:GitHub Actions 工作流中的 参数处理 CVE编号:CVE-2025-24243 严重程度:Critical(9.8/10) 该漏洞源于工作流直接将不受信任的用户输入( )插入了 shell 命令,攻击者可通过构造恶意 Issue 评论注入任意 shell 命令。 --- 漏洞代码位置 --- POC利用代码 利用步骤: 1. 进入仓库的任意 Issue 2. 发布如下评论: 执行结果(工作流日志): 注入的 命令成功执行,输出 。 --- 影响范围 潜在影响: 在 GitHub Actions 运行器中执行任意命令 获取 访问权限 窃取仓库数据 整个 CI/CD 管道被攻陷 --- 修复方案 核心原则:避免直接将用户输入插入 shell 命令,改用环境变量传递。 修复代码: 关键修改: 通过 将 传入环境变量 在脚本中通过 安全引用(使用双引号防止分词)