CVE-2025-30066 — 神龙十问 AI 深度分析摘要
CVSS 8.6 · High
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:GitHub Action `tj-actions/changed-files` 存在恶意代码,导致**内存内容被转储到应用日志**。💥 **后果**:攻击者可利用此漏洞**窃取敏感秘密(Secrets)**,造成严重的数据泄露事故。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:**CWE-506**(软件产品中包含对用于外部可影响程序操作的其他产品的不利交互的不安全处理)。🐛 **缺陷点**:代码中嵌入了**恶意逻辑**,主动将内存数据写入日志,而非正常的文件变更追踪。
Q3影响谁?(版本/组件)
📦 **组件**:**tj-actions/changed-files**。📉 **受影响版本**:**v46 之前**的所有版本。⚠️ 只要你的 GitHub Workflow 中使用了该 Action 且版本低于 v46,即处于风险中。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:无需额外权限,利用 Action 本身的执行环境。🔑 **数据**:直接读取**操作日志(Logs)**。💣 **危害**:发现并提取**秘密(Secrets)**,如 API Keys、Token 等,可能导致系统被完全控制。
Q5利用门槛高吗?(认证/配置)
📶 **利用门槛**:**极低**。🔓 **认证**:**PR:N**(无需认证)。🌐 **攻击向量**:**AV:N**(网络远程)。⚙️ **配置**:只要使用了受影响版本的 Action,无需用户交互(UI:N)或复杂配置即可触发。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:有。🔗 参考链接:`https://github.com/OS-pedrogustavobilro/test-changed-files`。📝 **说明**:该测试用例验证了旧版本 Action 会将恶意代码转储内存,证明漏洞可利用。
Q7怎么自查?(特征/扫描)
🛡️ **自查方法**: 1. 检查 Workflow 文件中是否引用 `tj-actions/changed-files`。 2. 确认版本号是否 **< v46**。 3. 使用 **Checkmarx 检测工具**扫描 Workflow 文件中的可疑代码片段。 4. 审查 GitHub Actions 日志,查找异常的内存转储内容。
Q8官方修了吗?(补丁/缓解)
🔧 **官方修复**:已修复。✅ 建议立即升级至 **v46 或更高版本**。🔗 官方 Issue:`https://github.com/tj-actions/changed-files/issues/2464` 确认了恶意代码已被移除。
Q9没补丁咋办?(临时规避)
🚫 **临时规避**: 1. **锁定版本**:立即将 Action 版本锁定为 **v46+**。 2. **轮换密钥**:假设所有使用该旧版本 Action 的 Secrets 已泄露,**立即轮换**所有相关凭证。 3. **禁用**:如无法升级,暂时禁用该 Action 或替换为其他安全替代品。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急(Critical)**。📢 **CVSS**:**7.5**(高)。💡 **建议**:供应链攻击影响面广,建议**立即行动**,升级版本并审计日志,防止秘密长期泄露。