关键漏洞信息 漏洞概述 标题: Command injection via discussion-to-slack GitHub Action 严重性: Critical (CVSS v3: 9.1/10) CVE ID: CVE-2025-53104 CWE: CWE-78 (Command Injection) 影响 描述: 在 GitHub Actions 工作流中发现命令注入漏洞。未受信任的讨论字段(如 title、body 等)直接插入到 shell 命令中,导致攻击者可以通过恶意的 GitHub 讨论标题或正文执行任意 shell 命令。 潜在后果: - 泄露仓库的 GITHUB_TOKEN(具有写权限) - 对仓库内容、发布和工作流进行未经授权的更改 - 暴露其他仓库秘密(如 Slack、npm 令牌) 修复措施 补丁: 漏洞工作流 已被删除,并将添加安全替换,以实现对未受信任输入的安全处理和减少令牌权限。 解决方案 变通方法: 用户应移除 工作流,如果使用此仓库的分叉或衍生版本。确保用户输入不会直接插入到 shell 脚本中,而是使用环境变量或安全输出块。 参考资料 GitHub Actions security best practices Command injection in GitHub Actions