一、 漏洞 CVE-2025-58178 基础信息
漏洞信息
# SonarQube 漏洞注入漏洞
## 概述
SonarQube Server and Cloud 是用于持续代码质量与安全检测的静态分析工具。在版本 4 至 5.3.0 中,SonarQube Scan GitHub Action 存在一个命令注入漏洞。
## 影响版本
受影响版本:4 至 5.3.0
## 细节
漏洞存在于 SonarQube Scan GitHub Action 中,该组件在处理用户输入参数时未进行充分的输入过滤和转义,导致攻击者可将恶意输入作为 shell 命令执行。
## 影响
攻击者可利用该漏洞在目标系统上执行任意命令,进而可能获取服务器控制权限或对 CI/CD 流程造成破坏。
## 修复版本
已在 SonarQube Scan GitHub Action 5.3.1 中发布修复版本。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-58178 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-58178 的情报信息
- https://sonarsource.atlassian.net/browse/SQSCANGHA-101 x_refsource_MISC
-
标题: SQSCANGHA-101 Add more input injection tests by aleksandra-bozhinoska-sonarsource · Pull Request #200 · SonarSource/sonarqube-scan-action · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Command Injection via sonarqube-scan-action GitHub Action · Advisory · SonarSource/sonarqube-scan-action · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://community.sonarsource.com/t/security-advisory-sonarqube-scanner-github-action/147696 x_refsource_MISC
-
标题: SQSCANGHA-101 Add more command injection tests · SonarSource/sonarqube-scan-action@016cabf · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-58178
四、漏洞 CVE-2025-58178 的评论
暂无评论