GitHub PAT写入调试产物 · CVE-2025-24362

漏洞详情

在某些情况下，CodeQL Action在代码扫描工作流运行失败后上传的调试产物可能包含工作流运行的环境变量，包括任何作为环境变量暴露给工作流的密钥。对仓库具有读取权限的用户能够访问此产物，其中包含来自环境的任何密钥。

对于某些受影响的工作流运行，调试产物中暴露的环境变量包括工作流运行的有效GITHUB_TOKEN，该令牌有权访问运行工作流的仓库，并具有工作流或任务中指定的所有权限。GITHUB_TOKEN在任务完成或24小时（以先到者为准）之前有效。

环境变量仅从满足以下所有条件的工作流运行中暴露：

配置为扫描Java/Kotlin语言的代码扫描工作流
在包含Kotlin源代码的仓库中运行
在启用调试产物的情况下运行
使用CodeQL Action版本<= 3.28.2，以及CodeQL CLI版本>= 2.9.2（2022年5月）和<= 2.20.2
工作流运行在github/codeql-action/analyze步骤内完成CodeQL数据库最终化之前失败
在任何GitHub环境中运行：GitHub.com、GitHub Enterprise Cloud和GitHub Enterprise Server（注意：产物仅对同一GitHub环境中具有扫描仓库访问权限的用户可访问）

在CodeQL CLI版本>= 2.9.2和<= 2.20.2中，CodeQL Kotlin提取器在为Kotlin代码创建CodeQL数据库的过程中默认将所有环境变量记录到中间文件中。

这是CodeQL CLI的一部分，由CodeQL Action调用用于分析Kotlin仓库。

在Actions上，记录的环境变量包括GITHUB_TOKEN，该令牌授予对正在扫描的仓库的权限。

包含环境变量的中间文件在最终化数据库时被删除，因此不会包含在成功创建的数据库中。但是，如果CodeQL Action在调试模式下调用，它会被包含在失败分析运行上传的调试产物中。

因此，在这些特定情况下（在调试模式下使用CodeQL Action进行不完整的数据库创建），能够访问调试产物的攻击者将获得对环境中仓库密钥的未授权访问，包括GITHUB_TOKEN和任何通过环境变量提供的用户配置密钥。

更新到CodeQL Action版本3.28.3或更高版本，或CodeQL CLI版本2.20.3或更高版本。

此漏洞已在CodeQL Action版本3.28.3中修复，该版本不再在调试模式下上传数据库产物。

此漏洞将在CodeQL CLI版本2.20.3中修复，在该版本中，所有语言的数据库创建默认不再记录完整环境。

高 - CVSS评分7.1