「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府

また「GitHub」において変更されたすべてのファイルとディレクトリを追跡できるGitHubアクション「changed-files」に判明した「CVE-2025-30066」が追加された。

プロジェクト「tj-actions」にて公開されているソースコードに、悪意のあるコミットが行われ、不正なコードを埋め込まれたことに起因。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高（High）」とレーティングされている。

悪意あるコードが埋め込まれた状態では、リモートからアクションログを読み取ることができ、「AWSアクセスキー」「GitHub個人アクセストークン」「npmトークン」「RSAプライベートキー」をはじめとするシークレット情報を窃取されるおそれがある。

開発チームは、問題あるコミットをすべてのタグやブランチから削除。今後同様の問題が発生しないよう対応策を講じたと説明している。

（Security NEXT - 2025/03/19 ） ツイート

PR

関連記事

MS、「Windows Server」向けに定例外パッチ - 米当局が悪用確認
シークレット管理ツール「HashiCorp Vault」に複数の脆弱性
「BIND 9」にキャッシュポイズニングなど複数脆弱性
端末管理製品「LANSCOPE」の脆弱性狙う攻撃に注意喚起 - 米当局
脆弱性狙われる「Oracle EBS」、定例パッチでさらなる修正
Ivantiの複数製品に脆弱性 - 「EPM」の更新は11月以降
「WatchGuard Firebox」の深刻な脆弱性、PoC公開で悪用リスク上昇
米当局、脆弱性悪用リストに「Oracle EBS」など5件追加
「ConnectWise Automate」に悪用リスク高い脆弱性 - 早急に対応を
Cisco製IPフォンや侵入検知エンジン「Snort 3」などに脆弱性