关键漏洞信息 漏洞概述 漏洞类型: 秘密泄露通过 严重性: 临界 (9.1/10) CVE ID: CVE-2025-52467 影响范围 受影响版本: 736a10424cd1ee80bb3c07f 至 5ca7476a2b6be6473 修复版本: 8eb356729c33560ce54b88b9 至 a956960ad1e3ede8 描述 时间范围: 2025年3月21日至2025年5月14日 问题: 使用 触发器,允许从拉取请求中执行不受信任的代码,并可能泄露所有工作流中的秘密。 风险: 攻击者可以篡改仓库的所有方面,包括推送任意代码和发布。 影响 潜在影响: - 破坏 pgai 代码库 - 在 GitHub 上发布恶意版本的 pgai - 在 PyPI 上发布恶意版本的 pgai 时间线 报告日期: 2025年5月14日 披露日期: 2025年6月17日 缓解措施 修复: 修改 工作流,将 切换为 ,并显式减少 的范围。 其他: 已被轮换。 报告者 @darryk10 @AlbertoPellitteri @loresuso