GHSA-c5qx-p38x-qf5w：RageAgainstThePixel/setup-steamcmd 在任务输出日志中泄露身份验证令牌

严重性：高 (CVSS: 8.7) 发布状态：GitHub已审核 发布时间： 2025年7月19日 更新于： 2025年7月21日

漏洞详情

受影响的包： RageAgainstThePixel/setup-steamcmd (GitHub Actions) 受影响版本： < 1.3.0 已修复版本： 1.3.0

描述

摘要

日志输出包含可提供完整账户访问权限的身份验证令牌。

详情

该 Action 的“任务后”操作会打印 config/config.vdf 文件的内容，该文件保存了已认证的身份验证令牌，可用于在另一台机器上登录。这意味着任何公开使用此 Action 的行为都会导致关联 Steam 账户的身份验证令牌公开可用。此外，userdata/$user_id$/config/localconfig.vdf 文件包含潜在的敏感信息，也不应出现在公开日志中。

概念验证 (PoC)

使用以下工作流步骤：

1
2
3
4
5
6
7

steps:
      - name: Setup SteamCMD
        uses: buildalon/setup-steamcmd@v1.0.4
      - name: Sign into steam
        shell: bash
        run: |
          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响

任何使用过此工作流 Action 并关联了 Steam 账户的用户都会受到影响，其有效的身份验证令牌已在任务日志中泄露。这对于公共仓库尤其严重，因为任何拥有 GitHub 账户的人都可以访问日志并查看该令牌。

参考

• GHSA-c5qx-p38x-qf5w
• RageAgainstThePixel/setup-steamcmd@3e4e408

安全评分详情

CVSS v4 基础指标

• 攻击向量： 网络
• 攻击复杂性： 低
• 攻击先决条件： 无
• 所需权限： 无
• 用户交互： 无
• 受影响系统机密性影响： 高
• 受影响系统完整性影响： 无
• 受影响系统可用性影响： 无
• 后续系统机密性影响： 无
• 后续系统完整性影响： 无
• 后续系统可用性影响： 无

完整向量： CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

相关弱点

• CWE-532：将敏感信息插入日志文件
  • 写入日志文件的信息可能具有敏感性，为攻击者提供有价值的指导或暴露敏感的用户信息。

标识符

• GHSA ID： GHSA-c5qx-p38x-qf5w
• CVE ID： 暂无已知 CVE

报告者

• BrknRobot