CVE-2025-54594 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:GitHub Actions 工作流配置不当。 🔥 **后果**:攻击者可触发 **任意代码执行**,危及 CI/CD 流水线安全。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-269(不当权限管理)。 🔍 **缺陷**:使用了危险的 `pull_request_target` 事件触发器,未正确隔离权限。
Q3影响谁?(版本/组件)
📦 **组件**:react-native-bottom-tabs。 📉 **版本**:0.9.2 及之前版本。 🏢 **厂商**:Callstack Incubator。
Q4黑客能干啥?(权限/数据)
💻 **权限**:获取 CI 环境最高权限。 📂 **数据**:可读取仓库敏感信息、注入恶意代码,甚至控制构建环境。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:低。 🔑 **条件**:无需认证(PR:N),攻击复杂度低(AC:L),无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:暂无公开 PoC。 🌍 **在野**:数据未显示在野利用,但风险极高,需警惕。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 GitHub Actions 工作流文件。 ⚠️ **特征**:查找是否使用 `pull_request_target` 且未限制权限或验证 PR 来源。
Q8官方修了吗?(补丁/缓解)
✅ **补丁**:已修复。 🔗 **参考**:查看 GitHub Security Advisories (GHSA-588g-38p4-gr6x) 及官方 Notion 公告。
Q9没补丁咋办?(临时规避)
🛡️ **规避**:升级至修复版本。 ⏸️ **临时**:若无法升级,限制 `pull_request_target` 的权限,或禁用自动运行工作流。
Q10急不急?(优先级建议)
🔥 **优先级**:高。 ⚡ **建议**:CVSS 评分高(C:H/I:H),立即升级或应用缓解措施,防止供应链攻击。