changed-files action (≤ v45.0.7) が侵害されたサプライチェーン攻撃の脆弱性。全タグが malicious commit に retroactively 付け替えられ、汚染された action が GitHub Actions runner の secrets を workflow ログへ dump した (embedded malicious code)。
- CWE-506 (Embedded Malicious Code)
- CVSS 3.1: 8.6 HIGH (
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N) - 影響: tj-actions/changed-files ≤ v45.0.7、v46 で解消
https://www.cve.org/CVERecord?id=CVE-2025-30066 https://nvd.nist.gov/vuln/detail/CVE-2025-30066