核心内容摘要
豆浆的甜蜜协奏曲:当青春遇见匠心,一份特别的“生产”之旅
actions/download-artifact 存在通过工件提取实现任意文件写入的漏洞漏洞标识符GHSA-cxww-7g
vh6严重等级高 (CVSS
8.
发布状态已于2024年9月2日发布至actions/download-artifact仓库并于2024年9月3日纳入GitHub安全公告数据库审核最后更新于2025年1月22日。
漏洞详情影响actions/download-artifact在
4.
3 之前的版本容易受到任意文件写入攻击。
当下载和提取一个包含路径遍历文件名的特制工件时此漏洞可能被利用。
受影响的版本
4.
0,
4.
3已修复的版本
4.
3修复方案升级到
4.
3 或更高版本。
或者使用指向最新安全版本的v4标签。
技术背景与参考相关漏洞研究Snyk 关于 ZIP Slip 漏洞的研究https://snyk.io/research/zip-slip-vulnerability修复版本发布页面https://github.com/actions/download-artifact/releases/tag/v
4.
3标识符CVE ID: CVE-
GHSA ID: GHSA-cxww-7g
vh6相关 GHSA: GHSA-6q32-hq
qq3致谢此漏洞由 Google 的 Justin Taft 发现。
安全评分详情 (CVSS v
4.
总体基本评分:
6 / 10 (高)CVSS v
0 基本指标向量:CVSS:
0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N可利用性指标:攻击向量 (AV): 网络 (N)攻击复杂度 (AC): 低 (L)攻击要求 (AT): 无 (N)所需权限 (PR): 低 (L)用户交互 (UI): 无 (N)脆弱系统影响指标:机密性 (VC): 高 (H)完整性 (VI): 高 (H)可用性 (VA): 无 (N)后续系统影响指标:机密性 (SC): 无 (N)完整性 (SI): 无 (N)可用性 (SA): 无 (N)弱点分类相关弱点CWE-ID: CWE-22弱点名称: 对受限目录的路径名限制不当路径遍历描述: 该产品使用外部输入来构造旨在标识位于受限父目录下的文件或目录的路径名但产品未能正确消除路径名中的特殊元素这些元素可能导致路径名解析到受限目录之外的位置。
发布者: joshmgross (发布至actions/download-artifact)分析师: holmanbglyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxd2gcWS18olPgEjmuun73Xy6uphA7rNZRF24OzI51db1g更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享