CVE-2025-30066

Nome do Software Vulnerável e Versões Afetadas tj-actions/changed-files versões 1 até 45.0.7

Descrição A GitHub Action tj-actions/changed-files foi comprometida, permitindo que atacantes remotos descobrissem segredos ao ler os logs de Actions. O comprometimento ocorreu entre 14 e 15 de março de 2025, devido a um commit malicioso (0e58ed8671d6b60d0890c21b07f8835ace038e67) ser aplicado retroativamente a múltiplas tags de versão. Este código malicioso executou um script Python que extraiu segredos da memória do processo Runner Worker e os registrou em log, potencialmente expondo chaves de API, chaves AWS, tokens do GitHub e chaves RSA. O ataque afetou mais de 23.000 repositórios. O script malicioso conectou-se a gist.githubusercontent.com para recuperar e executar um script (memdump.py) projetado para extrair informações sensíveis. Repositórios públicos estavam sob maior risco devido ao potencial de segredos expostos em logs publicamente acessíveis.

Recomendações Para as versões 1 até 45.0.7, revise os workflows executados entre 14 e 15 de março de 2025, buscando saída inesperada na seção changed-files. Se houver saída suspeita, decodifique-a e rotacione quaisquer segredos expostos imediatamente. Atualize os workflows que referenciam o commit comprometido para evitar o uso da versão vulnerável. Se estiver usando versões com tags, nenhuma ação é necessária, pois as tags foram atualizadas. Como precaução, rotacione quaisquer segredos potencialmente expostos.