Измененные файлы tj-actions до версии 46 позволяют удаленным злоумышленникам обнаруживать секреты, читая журналы действий. (Теги с v1 по v45.0.7 были затронуты 14 марта 2025 г. и 15 марта 2025 г., поскольку они были изменены злоумышленником так, чтобы они указывали на коммит 0e58ed8, который содержал вредоносный код updateFeatures.)
Показать оригинальное описание (EN)
tj-actions changed-files before 46 allows remote attackers to discover secrets by reading actions logs. (The tags v1 through v45.0.7 were affected on 2025-03-14 and 2025-03-15 because they were modified by a threat actor to point at commit 0e58ed8, which contained malicious updateFeatures code.)
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
tj-actions:changed-files
Затронутые конфигурации ПО 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tj-Actions Changed-Files
cpe:2.3:a:tj-actions:changed-files:*:*:*:*:*:*:*:*
|
— |
<= 45.0.7
|
Ссылки 21
https://blog.gitguardian.com/compromised-tj-actions/
cve@mitre.org
https://github.com/chains-project/maven-lockfile/pull/1111
cve@mitre.org
https://github.com/espressif/arduino-esp32/issues/11127
cve@mitre.org
https://github.com/github/docs/blob/962a1c8dccb8c0f66548b324e5b921b5e4fbc3d6/co…
cve@mitre.org
https://github.com/modal-labs/modal-examples/issues/1100
cve@mitre.org
https://github.com/rackerlabs/genestack/pull/903
cve@mitre.org
https://github.com/tj-actions/changed-files/blob/45fb12d7a8bedb4da42342e52fe054…
cve@mitre.org
https://github.com/tj-actions/changed-files/issues/2463
cve@mitre.org
https://github.com/tj-actions/changed-files/issues/2464
cve@mitre.org
https://github.com/tj-actions/changed-files/issues/2477
cve@mitre.org
https://news.ycombinator.com/item?id=43367987
cve@mitre.org
https://news.ycombinator.com/item?id=43368870
cve@mitre.org
https://semgrep.dev/blog/2025/popular-github-action-tj-actionschanged-files-is-…
cve@mitre.org
https://sysdig.com/blog/detecting-and-mitigating-the-tj-actions-changed-files-s…
cve@mitre.org
https://web.archive.org/web/20250315060250/https://github.com/tj-actions/change…
cve@mitre.org
https://www.stepsecurity.io/blog/harden-runner-detection-tj-actions-changed-fil…
cve@mitre.org
https://www.stream.security/post/github-action-supply-chain-attack-exposes-secr…
cve@mitre.org
https://www.sweet.security/blog/cve-2025-30066-tj-actions-supply-chain-attack
cve@mitre.org
https://www.wiz.io/blog/github-action-tj-actions-changed-files-supply-chain-att…
cve@mitre.org
https://www.cisa.gov/news-events/alerts/2025/03/18/supply-chain-compromise-thir…
af854a3a-2127-422b-91ae-364da2661108
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025…
134c704f-9b21-4f2e-91b3-4a467353bcc0