一、 漏洞 CVE-2025-30154 基础信息
漏洞信息
# 多个 Reviewdog 动作在特定时间段内遭到破坏
## 漏洞概述
reviewdog/action-setup 是一个 GitHub Action,用于安装 reviewdog。该工具在 2025 年 3 月 11 日 UTC 时间 18:42 到 20:31 之间遭到了篡改,植入了恶意代码,将暴露的机密信息泄露到 Github Actions 工作流日志中。
## 影响版本
- **reviewdog/action-setup@v1** 直接受影响。
- 使用 `reviewdog/action-setup@v1` 的其他 reviewdog 动作也受到影响,包括:
- reviewdog/action-shellcheck
- reviewdog/action-composite-template
- reviewdog/action-staticcheck
- reviewdog/action-ast-grep
- reviewdog/action-typos
## 细节
恶意代码会导致泄漏 GitHub Actions 工作流中的机密信息,例如 API 密钥和个人访问令牌。
## 影响
任何在此期间使用这些受影响版本的用户可能会暴露敏感数据到公开可见的日志中。因此需要及时更新或替换这些动作来避免进一步的风险。备注
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-30154 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-30154 的情报信息
-
标题: [Security Advisory] Supply Chain Attack on reviewdog GitHub Actions during a specific time period · Issue #2079 · reviewdog/reviewdog -- 🔗来源链接
标签: x_refsource_MISC
![[Security Advisory] Supply Chain Attack on reviewdog GitHub Actions during a specific time period · Issue #2079 · reviewdog/reviewdog](https://cvepdf.imfht.com:2443/2025-03-22/screenshot-viewport-2025-03-22T20-48-07.620Z-cbe19e33eede4f30f5c9.webp)
-
标题: Multiple Reviewdog actions were compromised during a specific time period · Advisory · reviewdog/reviewdog · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://www.wiz.io/blog/new-github-action-supply-chain-attack-reviewdog-action-setup x_refsource_MISC
-
标题: Merge pull request #36 from reviewdog/depup/reviewdog · reviewdog/action-setup@3f401fe · GitHub -- 🔗来源链接
标签: x_refsource_MISC
-
标题: fix(install): correctly handle different environments · reviewdog/action-setup@f0d342d · GitHub -- 🔗来源链接
标签: x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-30154