漏洞概述 该提交( )针对 GitHub Actions 的 和 命令的安全漏洞进行了修复。这两个命令原本允许工作流在执行过程中修改环境变量和 PATH,但存在命令注入风险——攻击者可通过恶意构造的 payload 在 runner 主机上执行任意代码。 影响范围 受影响组件: 工具(本地 GitHub Actions 运行器) 具体命令: - - 风险场景:恶意工作流或依赖项可利用这些命令注入环境变量,进而实现代码执行 修复方案 引入环境变量开关 : 关键代码变更 - 新增安全校验: 测试用例中的启用方式 工作流文件中的启用方式 推荐替代方案:使用 GitHub 官方 Environment Files( , )而非旧版命令语法。