关键信息 漏洞概述 漏洞类型: 命令注入 (Command Injection) 受影响的包: meshtastic/firmware (GitHub Actions) 受影响版本: >2.5.3 修复版本: 2.6.6 严重性: 中等 (Moderate) - CVSS v3 基本分数: 4.1/10 观察 GitHub Actions 在处理某些参数(如 )时存在安全隐患,因为未经授权的用户可以完全控制这些参数。 GitHub Action 被 事件触发,具有广泛的权限,并且可以通过创建拉取请求来启动。 利用方式 攻击者可以通过创建一个包含特定分支名称(如 或 )的拉取请求来利用此漏洞。 这些命令会打印环境变量或窃取 GitHub 令牌。 影响 攻击者可以注入未经授权的代码到仓库中,可能导致后门部署、恶意软件分发和其他安全问题。 推荐措施 在执行步骤之前,先将不受信任的用户输入分配给中间环境变量。 示例代码: 其他信息 CVE ID: CVE-2025-53637 报告者: Yaniv-git 修复开发者: vidplace7 协调员: garthvh