SK-CERT Bezpečnostné varovanie V20250729-01
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.1 |
| Identifikátor |
| tj-actions/branch-names – kritická bezpečnostná zraniteľnosť |
| Popis |
| Vývojári knižnice tj-actions na zefektívnenie CI/CD procesov vydali bezpečnostnú aktualizáciu svojho produktu tj-actions/branch-names, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2025-54416 spočíva v nedostatočnom overovaní používateľských vstupov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa prostredníctvom injekcie špeciálne upravených príkazov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Na uvedenú zraniteľnosť je v súčasnosti voľne dostupný Proof-of-Concept kód. |
| Dátum prvého zverejnenia varovania |
| 25.7.2025 |
| CVE |
| CVE-2025-54416 |
| IOC |
| – |
| Zasiahnuté systémy |
| tj-actions/branch-names vo verzii staršej ako 9.0.0 |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému |
| Odporúčania |
| Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú frameworky, knižnice, pluginy, SDK alebo moduly v zraniteľnej verzii. V prípade, že áno, bezodkladne zabezpečte aktualizáciu všetkých komponentov, od ktorých závisí vaša aplikácia, na aktuálne verzie bez známych bezpečnostných zraniteľností. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
| Zdroje |
|
https://github.com/tj-actions/branch-names/security/advisories/GHSA-gq52-6phf-x2r6 https://nvd.nist.gov/vuln/detail/CVE-2025-54416 |
« Späť na zoznam
