关键漏洞信息 漏洞概述 类型: 代码注入 途径: GitHub Actions Workflows 严重性: Critical (10.0/10) CVE ID: CVE-2025-49013 影响范围 受影响的项目: WilderForge组织下的多个项目,包括 , , 等。 影响: 恶意用户可通过提交包含shell元字符或命令的拉取请求审查,执行任意shell代码,导致CI基础设施、秘密和构建输出被潜在破坏。 漏洞细节 根本原因: 在GitHub Actions工作流中直接在shell脚本上下文中不安全地使用 和其他用户控制变量。 示例代码: 受影响与不受影响群体 受影响者: 维护或贡献上述WilderForge仓库的开发者,以及复用受影响GitHub Actions工作流的用户。 未受影响者: 软件最终用户及仅安装预构建版本或工件的用户。 解决方案与缓解措施 当前变通方法: 禁用受影响仓库中的GitHub Actions,或移除受影响的工作流。 参考资料: 包含GitHub Actions安全强化指南、脚本注入风险缓解策略等。