「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府

また「GitHub」において変更されたすべてのファイルとディレクトリを追跡できるGitHubアクション「changed-files」に判明した「CVE-2025-30066」が追加された。

プロジェクト「tj-actions」にて公開されているソースコードに、悪意のあるコミットが行われ、不正なコードを埋め込まれたことに起因。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高（High）」とレーティングされている。

悪意あるコードが埋め込まれた状態では、リモートからアクションログを読み取ることができ、「AWSアクセスキー」「GitHub個人アクセストークン」「npmトークン」「RSAプライベートキー」をはじめとするシークレット情報を窃取されるおそれがある。

開発チームは、問題あるコミットをすべてのタグやブランチから削除。今後同様の問題が発生しないよう対応策を講じたと説明している。

（Security NEXT - 2025/03/19 ） ツイート

PR

関連記事

悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
米当局、Fortinet製品のゼロデイ攻撃に対する侵害調査などを呼びかけ
複数Fortinet製品に脆弱性、すでに悪用も - 更新や侵害有無の確認を
悪用される「SmarterMail」脆弱性 - 侵害調査や最新ビルドへの更新を
「MS Office」にゼロデイ脆弱性、すでに悪用も - アップデートを公開
米当局、「Zimbra」「Versa Concerto」など脆弱性5件の悪用に注意喚起
「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開
米当局、「Zimbra」の脆弱性に注意喚起 - 軍関係狙うゼロデイ攻撃も