reviewdog/action-setup GitHub Action Embedded Malicious Code Vulnerability — reviewdog action-setup GitHub Action contains an embedded malicious code vulnerability that dumps exposed secrets to Github Actions Workflow Logs.
CVE-2025-30154 is a critical vulnerability in reviewdog/action-setup GitHub Action that embeds malicious code to exfiltrate secrets to GitHub Actions workflow logs. This poses severe risk to organizations using this action in CI/CD pipelines, potentially exposing sensitive credentials and API keys.
يحتوي إجراء GitHub Action من reviewdog/action-setup على كود ضار مدمج يقوم بسرقة الأسرار والبيانات الحساسة وتفريغها في سجلات سير عمل GitHub Actions. يؤثر هذا الضعف على جميع المنظمات التي تستخدم هذا الإجراء في خطوط أنابيب CI/CD الخاصة بها. يمكن للمهاجمين الوصول إلى بيانات الاعتماد والرموز المميزة ومفاتيح API من خلال السجلات المتاحة بشكل عام.
CVE-2025-30154 represents a critical flaw in reviewdog/action-setup GitHub Action containing malicious code that steals secrets and dumps them into GitHub Actions workflow logs. Organizations utilizing this action in their CI/CD pipelines face severe exposure of sensitive credentials, API keys, and authentication tokens.
Immediately stop using reviewdog/action-setup GitHub Action. Audit all workflow logs for exposed secrets. Rotate all credentials, API keys, and tokens that may have been exposed. Review GitHub Actions audit logs for suspicious activity. Implement secret scanning tools and consider using GitHub's native secret management. Update to a patched version once available and implement code review processes for third-party actions.
توقف فوراً عن استخدام إجراء reviewdog/action-setup. قم بمراجعة جميع سجلات سير العمل للأسرار المكشوفة. قم بتدوير جميع بيانات الاعتماد ومفاتيح API والرموز المميزة. راجع سجلات تدقيق GitHub Actions للنشاط المريب. طبق أدوات مسح الأسرار واستخدم إدارة الأسرار الأصلية من GitHub. حدّث إلى نسخة مصححة عند توفرها وطبق عمليات مراجعة الكود للإجراءات الخارجية.