reviewdog/action-setupに不正コード混入、GitHubアクションのシークレット情報流出の危険性が浮上
スポンサーリンク
記事の要約
- reviewdog/action-setupが約2時間にわたり不正コードに感染
- 複数のreviewdogアクションがシークレット情報の流出リスクに
- CVE-2025-30154として登録された高リスクの脆弱性
スポンサーリンク
reviewdog/action-setupの不正コード感染による複数アクションへの影響
GitHubは2025年3月19日、reviewdog/action-setupにおいて悪意のあるコードが混入され、GitHubアクションのワークフローログにシークレット情報が流出する可能性がある脆弱性を公開した。この問題は3月11日の18:42から20:31 UTCの約2時間にわたって発生し、複数のreviewdogアクションに影響を及ぼした可能性がある。[1]
CVE-2025-30154として登録されたこの脆弱性は、CVSS v3.1で8.6(High)のスコアが付与されており、ネットワークを介した攻撃が可能で攻撃条件の複雑さは低いとされている。reviewdog/action-setupを使用するaction-shellcheckやaction-staticcheckなど、複数のアクションが影響を受ける可能性があるため、早急な対応が必要だ。
特に影響を受けるアクションには、reviewdog/action-shellcheck、reviewdog/action-composite-template、reviewdog/action-staticcheck、reviewdog/action-ast-grep、reviewdog/action-typosが含まれている。不正コードはGitHubアクションのワークフローログにシークレット情報を送信する機能を持っており、バージョンや固定方法に関係なく影響を受ける可能性がある。
reviewdog/action-setupの脆弱性詳細
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2025-30154 |
| 影響度 | CVSS v3.1: 8.6 (High) |
| 影響期間 | 2025年3月11日 18:42-20:31 UTC |
| 影響を受けるアクション | action-shellcheck, action-composite-template, action-staticcheck, action-ast-grep, action-typos |
| 脆弱性タイプ | CWE-506: 埋め込まれた悪意のあるコード |
スポンサーリンク
サーバサイドリクエストフォージェリについて
サーバサイドリクエストフォージェリ(SSRF)とは、攻撃者が標的となるサーバーに不正なリクエストを送信させる脆弱性のことを指す。主な特徴として以下のような点が挙げられる。
- 内部ネットワークへのアクセスが可能になる
- 認証情報や機密データの漏洩リスクがある
- サーバーリソースの不正利用につながる可能性がある
特にGitHubアクションの文脈では、ワークフローで使用される認証情報やシークレット情報が攻撃者に流出するリスクが高まる。不正なコードが埋め込まれた場合、CIパイプライン全体のセキュリティが脅かされる可能性があるため、適切なバージョン管理と定期的なセキュリティ監査が重要となる。
reviewdog/action-setupの脆弱性に関する考察
reviewdog/action-setupの不正コード混入事案は、GitHubアクションのエコシステムにおけるサプライチェーン攻撃の深刻さを浮き彫りにしている。特に影響期間が2時間程度と短かったにもかかわらず、複数のアクションに影響を及ぼす可能性があることから、依存関係の連鎖によるリスクの拡大が懸念される。このような状況下では、アクションのバージョン固定やハッシュ値による検証など、より厳格な管理体制の構築が求められるだろう。
今後は類似の攻撃を防ぐため、GitHubアクションのセキュリティ機能の強化が期待される。特にシークレット情報の保護に関して、ワークフローログへのアクセス制限やシークレットの暗号化強化など、より堅牢なセキュリティ対策の実装が必要だ。また、依存するアクションの定期的なセキュリティ監査や、自動化されたセキュリティチェックの導入も検討すべきである。
サプライチェーン攻撃への対策として、アクションの開発者とユーザーの双方がセキュリティ意識を高める必要がある。特にCI/CDパイプラインでは、最小権限の原則に基づいたアクセス制御やシークレット管理の徹底が重要となる。今回の事例を教訓に、GitHubアクションのセキュリティベストプラクティスの確立と普及が望まれる。
参考サイト
- ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-30154, (参照 25-04-01). 2007
※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。
- Windows 11 Insider Preview Build 26200が公開、AMD・Intel搭載Copilot+ PCでセマンティック検索機能が大幅に進化
- GoogleがMeetにDynamic layouts機能を実装、ハイブリッド会議の視認性とコミュニケーション効率が向上
- 【CVE-2025-2647】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、緊急対応が必要に
- 【CVE-2025-2648】PHPGurukul Art Gallery Management System 1.0にSQLインジェクションの脆弱性、早急な対応が必要に
- 【CVE-2025-2649】PHPGurukul Doctor Appointment Systemに深刻な脆弱性、患者データの漏洩リスクが浮上
- 【CVE-2024-13737】WordPress用プラグインMotors 1.4.57に認証機能の欠落、任意の投稿削除とテンプレート作成が可能に
- 【CVE-2025-2624】westboy CicadasCMS 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒
- 【CVE-2025-1408】ProfileGridプラグインに認可の欠陥、管理者権限のバイパスが可能に
- 【CVE-2024-13739】WordPressプラグインNewsletters 4.9.9.7以前にXSS脆弱性、管理者権限での実行の危険性
- 【CVE-2025-0724】ProfileGrid 5.9.4.5以前のバージョンにPHPオブジェクトインジェクションの脆弱性、認証済みユーザーによる攻撃のリスク
スポンサーリンク
