Een ernstige kwetsbaarheid (CVE-2025-54416) is ontdekt in de GitHub-actie ’tj-actions/branch-names’, die versies tot en met 8.2.1 treft. Deze kwetsbaarheid stelt kwaadwillenden in staat om willekeurige commando’s uit te voeren door speciaal vervaardigde branch- of tag-namen te gebruiken. Dit probleem, voortkomend uit gebrekkige input-sanitatie en niet-ontsnapte uitvoer, vormt een groot risico voor downstream-workflows waarin deze actie wordt gebruikt.
Met een CVSS-score van 9.1 is dit een kritieke kwetsbaarheid die onmiddellijke aandacht vereist. Aanvallers kunnen het netwerk-compromitteren met weinig moeite, dankzij de lage complexiteit en noodzakelijke privileges.
Overzicht
De repository ’tj-actions/branch-names’ ondersteunt workflows om branch- of tagnamen te verkrijgen. De kwetsbaarheid, gecategoriseerd onder CWE-77, betreft het ontoereikend neutraliseren van speciale elementen gebruikt in een commando. Hierdoor kunnen kwaadwillende acteurs uitvoerbare code injecteren.
Aanbevelingen
- Update naar versie 9.0.0 of hoger om deze kritieke kwetsbaarheid te verhelpen.
- Controleer uw systemen op verdachte activiteiten en pas extra monitoring toe op getroffen workflows.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54416?
Het betreft een kritieke commando-injectie kwetsbaarheid in de ’tj-actions/branch-names’ GitHub-actie, die tot versie 8.2.1 aanwezig is.
Welke systemen zijn kwetsbaar voor CVE-2025-54416?
Systemen die de ’tj-actions/branch-names’ GitHub-actie draaien met versies lager dan 9.0.0 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 9.0.0 bevat een oplossing voor deze kwetsbaarheid. Het is noodzakelijk om zo snel mogelijk bij te werken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan commando’s injecteren en daardoor controle over de uitvoering in workflows verkrijgen, wat leidt tot potentieel ernstige beveiligingscompromitteringen.
