关键漏洞信息 漏洞概述 漏洞类型: Secrets exfiltration via 严重性: Critical (9.1/10) CVE ID: CVE-2025-47928 影响范围 受影响的文件: (GitHub Actions) 受影响的版本: 4f5759dbfb4506c7b628057, 2a4db1aabcb1ac778d 修复后的版本: 9dfb7177b8d7bb98a5a6014f, 8e6436812a47576f 描述 问题: 使用 在 中,攻击者可以通过执行不受信任的代码(来自forked PR)并检查head sha来获取对仓库秘密的完全访问权限。 具体风险: 可以泄露 和其他秘密如 , 。 细节 在 GitHub Actions 中是一个主要的安全问题,特别是在公共仓库中,因为它会在PR上下文中执行不受信任的代码。 攻击者可以控制代码并更改工作流以执行任意代码。 PoC 攻击者可以在工作流中添加恶意Python包并通过 安装和执行恶意代码。 示例:通过提取 创建测试标签并在2分钟后删除。 影响 攻击者可以完全接管仓库,因为 具有写入权限。 修复建议 移除所有工作流中的 ,特别是包含它的分支。 正确设置 权限,限制不必要的权限。