# CVE-2025-30154 > [!high] Comprometimento da Action reviewdog no GitHub Actions - Supply Chain CI/CD > Vulnerabilidade de supply chain no GitHub Actions via comprometimento da action reviewdog/action-setup, permitindo execução de código malicioso em pipelines CI/CD de organizações que utilizam esta action para revisão de código automática. ## Visão Geral A [[cve-2025-30154|CVE-2025-30154]] é uma vulnerabilidade de **supply chain em pipeline CI/CD** relacionada ao comprometimento da GitHub Action `reviewdog/action-setup`. A action reviewdog é amplamente utilizada para execução automática de ferramentas de lint e revisão de código em pipelines de desenvolvimento. O comprometimento desta action permite que código malicioso seja executado no contexto do runner de CI/CD, potencialmente expondo secrets, tokens e código-fonte dos repositórios afetados. Este tipo de ataque - injeção de código malicioso em dependências de CI/CD - seguiu o padrão estabelecido pelo ataque ao tj-actions/changed-files (também comprometido em 2025), demonstrando uma tendência crescente de atores maliciosos mirando a cadeia de suprimentos de software via GitHub Actions. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Supply Chain - CI/CD Action Poisoning | | Componente | reviewdog/action-setup GitHub Action | | Vetor | Supply chain via dependência de CI/CD | | Impacto | Execução de código no runner, exfiltração de secrets | | Padrão similar | tj-actions/changed-files compromise (2025) | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Comprometimento da action reviewdog | | [[t1552-001-credentials-in-files\|T1552.001]] | Exfiltração de secrets do CI/CD pipeline | | [[t1059-004-unix-shell\|T1059.004]] | Execução de shell no GitHub Actions runner | | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | Exfiltração de dados via runner comprometido | ## Detecção e Defesa **Mitigações:** - Referenciar GitHub Actions por hash SHA completo, nunca por tag mutável - [[m1051-update-software\|M1051]] - Auditar todas as actions usadas nos pipelines - Rotacionar imediatamente secrets expostos em pipelines afetados - [[m1045-code-signing\|M1045]] - Validar integridade de actions antes de uso - Revisar logs de execução de CI/CD para atividade suspeita no período de comprometimento > [!latam] Relevância para Brasil e LATAM > Empresas de tecnologia brasileiras que utilizam GitHub Actions para CI/CD - especialmente startups, fintechs e empresas de desenvolvimento de software - são afetadas. O comprometimento de um pipeline CI/CD pode expor tokens de acesso a cloud, credenciais de banco de dados e código-fonte proprietário. A conformidade com frameworks como SOC 2 e ISO 27001, cada vez mais exigidos por clientes corporativos brasileiros, requer controles específicos sobre integridade de pipelines CI/CD. ## Referências - [NVD - CVE-2025-30154](https://nvd.nist.gov/vuln/detail/CVE-2025-30154) - [GitHub Advisory - reviewdog](https://github.com/advisories/) - [StepSecurity Blog - CI/CD Supply Chain](https://www.stepsecurity.io/blog)