[TLP:CLEAR] GitHub Action tj-actions/changed-files opravuje vysoce závažnou zranitelnost
GitHub Action tj-actions/changed-files verzí 46.0.1 opravuje vysoce závažnou zranitelnost [1][2].
Neautentizovanému vzdálenému útočníkovi je umožněno získat tajné údaje (Secrets) [3] z CI/CD prostředí kvůli jejich zápisu do výstupních logů GitHub Actions, jsou-li tyto logy veřejně dostupné. Zranitelnost byla způsobena kompromitací akce a zpětnou změnou tagů verzí tak, aby odkazovaly na škodlivý commit [2][4]. Detailní informace ke zranitelnosti a doporučenému postupu naleznete na [4][5]. Zranitelnost je již aktivně zneužívána [6].
Zranitelnost se nachází v produktu tj-actions/changed-files ve verzích <=45.0.7.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Více informací:
- CVE-2025-30066 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-506: Embedded Malicious Code at cwe.mitre.org
Zranitelnost byla veřejně oznámena 15. 3. 2025.
Odkazy
- [1] https://github.com/tj-actions/changed-files/releases/tag/v46.0.1
- [2] https://github.com/advisories/GHSA-mrrh-fwg8-r2c3
- [3] https://docs.github.com/en/actions/security-for-github-actions/security-guides/about-secrets
- [4] https://www.stepsecurity.io/blog/harden-runner-detection-tj-actions-changed-files-action-is-compromised
- [5] https://semgrep.dev/blog/2025/popular-github-action-tj-actionschanged-files-is-compromised/
- [6] https://www.cisa.gov/news-events/alerts/2025/03/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
Za CESNET-CERTS Michaela Ručková dne 20. 3. 2025.
