CVE-2025-53104 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:gluestack-ui 工作流存在 **命令注入** 漏洞。 💥 **后果**:攻击者可执行任意系统命令,导致 **服务器被控** 或 **数据泄露**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-77 (命令注入)。 📍 **缺陷点**:`discussion-to-slack.yml` 工作流处理不当,未过滤恶意输入。
Q3影响谁?(版本/组件)
📦 **产品**:gluestack-ui (gluestack 开源软件)。 📉 **版本**:commit `e6b4271` **之前** 的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👮 **权限**:通常以 **高权限** (如 root/admin) 运行 CI/CD 环境。 💾 **数据**:可读取仓库密钥、源码、构建产物,甚至横向移动。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:**极低**。 🔓 **条件**:CVSS 显示 **无需认证** (PR:N),利用简单 (AC:L),UI 交互非必须 (UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:官方披露中 **未提及** 现成 PoC 或 **在野利用**。 📝 **参考**:详见 GitHub Security Advisory (GHSA-432r-9455-7f9x)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 GitHub Actions 中是否存在 `discussion-to-slack.yml`。 📋 **动作**:查看工作流历史,确认是否使用受影响 commit 之前的代码。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:官方已修复。 🔧 **补丁**:升级至 commit `e6b427150b35e97a089ea10409de8c5c52f8a7b9` 或更高版本。
Q9没补丁咋办?(临时规避)
⏸️ **临时规避**:若无法升级,建议 **禁用** 相关 GitHub Actions 工作流。 🚫 **限制**:暂时关闭 `discussion-to-slack` 功能,切断攻击路径。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📈 **理由**:CVSS 评分高 (H/C/H/N),无需认证即可利用,CI/CD 环境风险极大,建议 **立即升级**。