CVE-2025-53546 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Folo (RSSNext) 的 GitHub Actions 工作流存在配置缺陷。 🔥 **后果**：攻击者可利用 **pull_request_target** 机制，绕过安全限制，实现 **权限提升**，控制 CI/CD 流程。

🛡️ **CWE**：CWE-829 (不可信来源的回调函数/事件处理)。 🔍 **缺陷点**：工作流错误使用了 **pull_request_target** 事件，导致在不可信的 PR 代码环境中执行特权操作。

📦 **厂商**：RSSNext。 💻 **产品**：Folo (RSSNext 开源的信息聚合工具)。 📌 **范围**：受影响的 GitHub Actions 工作流配置。

💀 **黑客能力**： 1️⃣ **权限提升**：从普通 PR 提交者变为拥有仓库写权限。 2️⃣ **数据泄露**：读取敏感环境变量或代码。 3️⃣ **代码注入**：在 CI 环境中执行恶意脚本。

📶 **利用门槛**：低。 🔑 **条件**：CVSS 显示 **PR:N** (无需认证)，只要向项目提交 PR 即可触发漏洞逻辑。

🧪 **Exp/PoC**：当前数据 **无现成 PoC**。 🌍 **在野利用**：暂无报告，但逻辑漏洞风险极高，需警惕。

🔍 **自查方法**： 1️⃣ 检查 GitHub Actions 工作流文件。 2️⃣ 搜索是否包含 **pull_request_target**。 3️⃣ 确认是否在 checkout 用户代码后直接运行脚本。

🛠️ **官方修复**：已修复。 📝 **补丁**：参考 commit `585c6a591440cd39f92374230ac5d65d7dd23d6a`。 🔗 **详情**：见 GHSA 安全公告。

⚠️ **临时规避**： 1️⃣ 禁用 **pull_request_target** 事件。 2️⃣ 改用 **pull_request** 事件。 3️⃣ 若必须使用，严禁 checkout 用户代码并执行脚本。

🚀 **优先级**：高。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N (高危)。 💡 **建议**：立即更新 Folo 版本或手动修复工作流配置。