Xygeni Action供应链标签污染漏洞CVE-2026-31976

Xygeni Action（Xygeni Scanner） 是 Xygeni 官方 GitHub Action，用于 GitHub CI/CD 流水线中自动执行代码与软件供应链安全扫描。

一、基本情况

Xygeni Action 集成 SAST、SCA、密钥检测、IaC 安全与 CI/CD 配置审计，定位和作用是 Xygeni 安全平台的 GitHub 流水线集成入口。

Xygeni Action 产品的核心价值在于能够在代码合并 / 构建前自动扫描，阻断漏洞、恶意依赖、密钥泄露与配置错误进入主分支Xygeni。

栋科技漏洞库关注到 Xygeni Action v5 版本中存在的一个供应链标签污染漏洞，该漏洞已追踪为CVE-2026-31976，CVSS 4.0评分9.3。

二、漏洞分析

漏洞源于一个能访问受损凭据的攻击者在2026年3月3日创建的一系列拉取请求（#46、#47、#48），将混淆的shell代码注入action.yml。

攻击者利用泄露凭据控制 GitHub App并恶意将可变标签（Mutable Tag）`v5` 指向包含混淆 Shell 代码的未合并 Commit（4bf1d4e）。

在 2026 年 3 月 3 日至 10 日期间，任何引用 `xygeni/xygeni-action@v5` 的工作流在运行时都会自动下载并执行恶意 C2 植入程序。

这种攻击方式被称为“标签污染”（Tag Poisoning），攻击者可在 CI Runner 环境中执行任意系统命令，导致敏感凭据泄露或内网渗透。

伪装成“扫描版本遥测”步骤的恶意代码的操作如下：

1、在91.214.78.178的C2服务器上注册CI运行程序（通过安全验证.91.214.78.178.nip.io），传输主机名、用户名和操作系统版本。

2、每2-7秒轮询一次C2服务器，持续180秒，通过eval接收和执行任意shell命令。

3、在将命令输出泄漏回C2服务器之前，对其进行压缩和base64编码。

4、植入程序在合法扫描的同时在后台静默运行，抑制所有错误，跳过TLS证书验证，并使用随机轮询间隔来逃避检测。

三、影响范围

Xygeni Action v5

四、修复建议

Xygeni Action v6.4.0

五、参考链接

管理员已设置登录后刷新可查看