tj-actions の changed-files には、不特定の脆弱性が存在します。
tj-actions changed-files 45.0.7 およびそれ以前
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
情報を取得される可能性があります。
参考情報を参照して適切な対策を実施してください。
埋め込まれた悪意のあるコード(CWE-506) [その他] その他(CWE-Other) [NVD評価]
CVE-2025-30066
National Vulnerability Database (NVD) : CVE-2025-30066 CISA Known Exploited Vulnerabilities Catalog : CVE-2025-30066 関連文書 : blog.gitguardian.com (compromised-tj-actions) 関連文書 : github.com (pull/1111) 関連文書 : github.com (issues/11127) 関連文書 : github.com (security-hardening-for-github-actions.md?plain=1#L191-L193) 関連文書 : github.com (issues/1100) 関連文書 : github.com (pull/903) 関連文書 : github.com (README.md?plain=1#L20-L28) 関連文書 : github.com (issues/2463) 関連文書 : github.com (issues/2464) 関連文書 : github.com (issues/2477) 関連文書 : news.ycombinator.com (43367987) 関連文書 : news.ycombinator.com (43368870) 関連文書 : semgrep.dev (popular-github-action-tj-actionschanged-files-is-compromised) 関連文書 : sysdig.com (detecting-and-mitigating-the-tj-actions-changed-files-supply-chain-attack-cve-2025-30066) 関連文書 : web.archive.org (issues/2463) 関連文書 : www.stepsecurity.io (harden-runner-detection-tj-actions-changed-files-action-is-compromised) 関連文書 : www.stream.security (github-action-supply-chain-attack-exposes-secrets-what-you-need-to-know-and-how-to-respond) 関連文書 : www.sweet.security (cve-2025-30066-tj-actions-supply-chain-attack) 関連文書 : www.wiz.io (github-action-tj-actions-changed-files-supply-chain-attack-cve-2025-30066) 関連文書 : www.cisa.gov (supply-chain-compromise-third-party-github-action-cve-2025-30066)
[2025年03月25日] 掲載
