CVE-2025-47928 — 神龙十问 AI 深度分析摘要

🚨 **本质**：GitHub Actions 中 `pull_request_target` 事件执行了**不受信任的代码**。 💥 **后果**：恶意 PR 可窃取仓库**凭据**，甚至直接**接管仓库**，危害极大。

🔍 **CWE**：CWE-488（**事件处理程序错误**）。 📍 **缺陷点**：CI/CD 流水线配置不当，未隔离外部贡献者的代码执行环境。

📦 **厂商**：spotipy-dev。 🐍 **产品**：Spotipy（Spotify Web API 的 Python 库）。

🕵️ **黑客权限**：拥有**高**权限（CVSS 3.1 评分高）。 📂 **数据风险**：可读取**高**敏感数据（凭据泄露），可修改**高**完整性（仓库接管）。

🚪 **门槛**：**低**。 🔑 **条件**：无需认证（PR:N），无需用户交互（UI:N），攻击复杂度低（AC:L）。只要有人提交 PR 即可触发。

🧪 **Exp/PoC**：数据中未提供现成 PoC 或**在野利用**报告。 ⚠️ **注意**：虽无公开 Exp，但原理简单，利用风险依然存在。

🔎 **自查**：检查 GitHub Actions 工作流文件。 🚫 **特征**：查找是否使用了 `pull_request_target` 且直接运行了来自 fork 仓库的**代码**（如 checkout 外部代码后直接运行）。

🛡️ **官方修复**：**已修复**。 📝 **补丁**：参考官方安全公告 GHSA-h25v-8c87-rvm8 及提交记录 9dfb7177。

🛑 **临时规避**：若无法立即更新，建议**禁用** `pull_request_target` 对 fork 仓库的自动执行，或严格审查 PR 代码后再合并。

🔥 **优先级**：**紧急**。 💡 **建议**：CVSS 评分高，涉及 CI/CD 供应链安全，建议**立即**升级或应用官方修复补丁。