发布日期：2025-07-30
更新日期：2025-11-06

受影响系统：

dedupe dedupe < commit 3f61e79

描述：

---

CVE(CAN) ID: CVE-2025-54430

dedupe是Dedupe.io开源的一个用于精确和可扩展的模糊匹配、去重的Python库。
dedupe commit 3f61e79之前版本存在操作系统命令注入漏洞，攻击者可利用该漏洞通过执行不受信代码泄漏GITHUB_TOKEN，从而获得写入权限并接管存储库。

<**>

建议：

---

厂商补丁：

dedupe
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/dedupeio/dedupe/commit/3f61e79102910bd355e920a2df7e44c14c9cb247

浏览次数：82
严重程度：0（网友投票）