BDU:2026-00066 | Уязвимость пакета changed-files программного обесп

BDU:2026-00066

Уязвимость пакета changed-files программного обеспечения для автоматизации процессов CI/CD TJ-actions, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

📄 Описание

Уязвимость пакета changed-files программного обеспечения для автоматизации процессов CI/CD TJ-actions связана с наличием недекларированных возможностей. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

🖥️ Уязвимое ПО

Сообщество свободного программного обеспечения

Наименование ПО: changed-files

Версия ПО: от 1.0 до 46.0.1 (changed-files)

Тип ПО: Прикладное ПО информационных систем

ОС / платформа: —

⚙️ Технические сведения

Тип ошибки

Внедренный вредоносный код (CWE-506)

Класс уязвимости

Уязвимость кода

Дата выявления

14.03.2025

Способ эксплуатации

Злоупотребление функционалом

Способ устранения

Обновление программного обеспечения

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Устранение

Уязвимость устранена

📊 CVSS

CVSS 2.0

AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 3.0

AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

⚠️ Уровень опасности

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,6)

🔗 Источники и меры

🔗 https://github.com/chains-project/maven-lockfile/p... 🔗 https://github.com/espressif/arduino-esp32/issues/... 🔗 https://github.com/github/docs/blob/962a1c8dccb8c0... 🔗 https://github.com/modal-labs/modal-examples/issue... 🔗 https://github.com/rackerlabs/genestack/pull/903 🔗 https://github.com/tj-actions/changed-files/blob/4... 🔗 https://github.com/tj-actions/changed-files/issues... 🔗 https://github.com/tj-actions/changed-files/issues... 🔗 https://github.com/tj-actions/changed-files/issues... 🔗 https://news.ycombinator.com/item?id=43367987 🔗 https://news.ycombinator.com/item?id=43368870 🔗 https://semgrep.dev/blog/2025/popular-github-actio... 🔗 https://sysdig.com/blog/detecting-and-mitigating-t... 🔗 https://web.archive.org/web/20250315060250/https:/... 🔗 https://www.stepsecurity.io/blog/harden-runner-det... 🔗 https://www.stream.security/post/github-action-sup... 🔗 https://www.sweet.security/blog/cve-2025-30066-tj-... 🔗 https://www.wiz.io/blog/github-action-tj-actions-c... 🔗 https://github.com/tj-actions/changed-files/releas... 🔗 https://www.cisa.gov/sites/default/files/csv/known...

🏷️ Идентификаторы

CVE-2025-30066

📅 Даты

Дата публикации

06.01.2026

Последнее обновление

06.01.2026

← Назад к списку

Детали уязвимости