GitHub Actions中的Lychee链接检查操作存在任意代码注入漏洞 (CVE-2024-48908)

GitHub Actions中的Lychee链接检查操作存在任意代码注入漏洞 (CVE-2024-48908)

漏洞详情

漏洞描述

概述

在lycheeverse/lychee-action的复合操作(action.yml)中的lychee-setup步骤发现了一个潜在的任意代码注入漏洞。

技术细节

该GitHub Action的输入变量inputs.lycheeVersion可以被利用来在Action的上下文中执行任意代码。这是一个典型的代码注入漏洞，其根本原因在于对用户提供的输入未进行充分的净化处理。

漏洞演示 (PoC)

以下是一个概念验证示例，展示了如何利用此漏洞：

- uses: lycheeverse/lychee@v2
  with:
    lycheeVersion: $(printenv >> $GITHUB_STEP_SUMMARY && echo "v0.16.1")

在这个例子中，lycheeVersion参数被设置为一个包含命令注入的字符串。当Action执行时，它会执行printenv >> $GITHUB_STEP_SUMMARY命令，将所有环境变量输出到工作流的步骤摘要中。虽然此示例仅为信息泄露，但攻击者完全可以利用此向量来执行更具破坏性的操作，如窃取密钥、修改代码或破坏仓库的CI/CD流程。由于注入的命令被执行的同时，Action本身仍会正常运行（在本例中，echo "v0.16.1"确保后续版本选择逻辑不受影响），这种攻击具有很高的隐蔽性，可能在不被察觉的情况下发生。

影响范围

该漏洞允许攻击者在受影响的GitHub Actions工作流中注入并执行任意代码。成功利用此漏洞可能导致：

• 高保密性影响：攻击者可能访问并窃取环境变量、密钥和源代码等敏感信息。
• 高完整性影响：攻击者可能修改构建产物、篡改代码或向仓库提交恶意更改。
• 低可用性影响：根据CVSS指标，此漏洞本身不会直接导致系统可用性损失。

安全建议

强烈建议所有使用lycheeverse/lychee-action的用户立即将Action版本升级到2.0.2或更高版本，以修复此安全漏洞。

修复版本

• 2.0.2

参考资料

• GitHub Security Advisory (GHSA-65rg-554r-9j5x)
• 漏洞修复提交 (lycheeverse/lychee-action@7cd0af4)
• NVD CVE详情 (CVE-2024-48908)FINISHED glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxclMWpJJy1rr5+umlAieuiatvqlsqTuO6TWgylcYBrvWQ==