GitHub 热门 Action 组件 tj-actions/branch-names 存在高危命令注入漏洞（CVE-2025-54416），影响超过 5000 个代码库。攻击者可在 CI/CD 流程中执行任意命令，威胁安全。开发者已修复漏洞，建议用户升级至 v9 版本。