← voltar
CVE-2025-30066

CVE-2025-30066

CVSS 8.6 HIGHEPSS 41.0%● KEVCWE-506
Em resumo

Uma ferramenta do GitHub Actions tinha uma vulnerabilidade que permitia atacantes ler informações secretas dos logs de ações. As versões antigas da ferramenta foram comprometidas com código malicioso que expunha dados sensíveis.

Detalhe técnico

CWE-506 (código malicioso incorporado) nas versões ≤45.0.7 do tj-actions changed-files permite que atacantes remotos exfiltrem secrets através dos logs de workflow; a vulnerabilidade resultou de manipulação de tags que redirecionou para um commit malicioso contendo funcionalidade updateFeatures não autorizada, afetando usuários que referenciaram as tags afetadas entre 14-15 de março de 2025.

Resumo gerado e traduzido por IA a partir da descrição oficial.
tj-actions changed-files before 46 allows remote attackers to discover secrets by reading actions logs. (The tags v1 through v45.0.7 were affected on 2025-03-14 and 2025-03-15 because they were modified by a threat actor to point at commit 0e58ed8, which contained malicious updateFeatures code.)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Produtos afetados
tj-actions · changed-files
PoCs públicas encontradas2
githubgithub.com/Checkmarx/Checkmarx-CVE-2025-30066-Detection-Tool1githubgithub.com/Super-Vulnerable-Org/compromised-action0
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://blog.gitguardian.com/compromised-tj-actions/https://github.com/chains-project/maven-lockfile/pull/1111https://github.com/espressif/arduino-esp32/issues/11127https://github.com/github/docs/blob/962a1c8dccb8c0f66548b324e5b921b5e4fbc3d6/content/actions/security-for-github-actions/security-guides/security-hardening-for-github-actions.md?plain=1#L191-L193https://github.com/modal-labs/modal-examples/issues/1100https://github.com/rackerlabs/genestack/pull/903https://github.com/tj-actions/changed-files/blob/45fb12d7a8bedb4da42342e52fe054c6c2c3fd73/README.md?plain=1#L20-L28https://github.com/tj-actions/changed-files/issues/2463https://github.com/tj-actions/changed-files/issues/2464https://github.com/tj-actions/changed-files/issues/2477https://news.ycombinator.com/item?id=43367987https://news.ycombinator.com/item?id=43368870