CVE-2026-31852 — 神龙十问 AI 深度分析摘要

🚨 **本质**：GitHub Actions 工作流权限配置过高。 💥 **后果**：可能导致**任意代码执行**及**仓库被接管**，严重威胁项目安全。

🔍 **CWE-269**：不当的权限提升。 📍 **缺陷点**：`code-quality.yml` 工作流中权限设置不当，违反了最小权限原则。

📦 **厂商**：Jellyfin。 📱 **组件**：`jellyfin-ios` 项目中的 GitHub Actions 工作流文件。

🔓 **权限**：攻击者可获取工作流的高权限。 💾 **数据**：可执行任意代码，甚至完全控制仓库，窃取代码或植入后门。

📉 **门槛低**：CVSS 评分显示 **AV:N/AC:L/PR:N/UI:N**。 ⚙️ **配置**：无需认证，利用自动化工作流的权限缺陷即可触发。

🚫 **PoC**：数据中未提供现成利用代码。 🌍 **在野**：暂无在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查 GitHub 仓库的 `.github/workflows/` 目录。 📝 **特征**：重点审查 `code-quality.yml` 等文件的 `permissions` 字段是否过于宽松。

🛡️ **已修复**：官方已发布安全建议。 🔗 **补丁**：参考 GHSA-7qhm-2m45-7fmh 及提交记录 `109217e` 进行修复。

⚠️ **临时规避**：若未升级，需手动限制工作流权限。 🔒 **措施**：移除不必要的 `write-all` 权限，仅授予最小必要权限。

🔥 **优先级：高**。 ⏳ **建议**：立即审查 CI/CD 配置，防止供应链攻击，避免仓库被接管。