Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03223

Опубликовано: 12 мар. 2025
Источник: fstec
CVSS3: 8.6
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость компонента reviewdog/action-setup платформы для совместной разработки GitHub связана с наличием недекларированных возможностей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

reviewdog

Наименование ПО

action-setup

Версия ПО

до 0.17.2 (action-setup)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети для ограничения доступа к уязвимому программному обеспечению из других подсетей;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://github.com/reviewdog/action-setup/commit/3f401fe

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.15395
Средний

8.6 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-30154

CVSS3: 8.6
nvd
11 месяцев назад

reviewdog/action-setup is a GitHub action that installs reviewdog. reviewdog/action-setup@v1 was compromised March 11, 2025, between 18:42 and 20:31 UTC, with malicious code added that dumps exposed secrets to Github Actions Workflow Logs. Other reviewdog actions that use `reviewdog/action-setup@v1` that would also be compromised, regardless of version or pinning method, are reviewdog/action-shellcheck, reviewdog/action-composite-template, reviewdog/action-staticcheck, reviewdog/action-ast-grep, and reviewdog/action-typos.

github логотип

GHSA-qmg3-hpqr-gqvc

CVSS3: 8.6
github
11 месяцев назад

Multiple Reviewdog actions were compromised during a specific time period

EPSS

Процентиль: 94%
0.15395
Средний

8.6 High

CVSS3

7.8 High

CVSS2