GitHub Action安全漏洞:SteamCMD令牌意外泄露至日志文件

本文披露了GitHub Action "buildalon/setup-steamcmd" 在v1.1.0之前版本中存在的一个高严重性安全漏洞。该漏洞会导致Steam认证令牌等敏感信息被打印到作业日志中,从而使攻击者能完全访问关联的Steam账户。

GHSA-mj96-mh85-r574:buildalon/setup-steamcmd 在作业输出日志中泄露认证令牌

漏洞详情

摘要 作业日志输出包含可提供完整账户访问权限的认证令牌。

详情 该Action的后续作业操作会打印 config/config.vdf 文件的内容,该文件保存了已认证的令牌,并可用于在另一台机器上登录。这意味着任何公开使用此Action的操作都会导致关联Steam账户的认证令牌公开可用。此外,userdata/$user_id$/config/localconfig.vdf 包含潜在敏感信息,这些信息不应出现在公共日志中。

概念验证 (PoC) 使用以下工作流步骤:

1
2
3
4
5
6
7
8

steps:
      - name: Setup SteamCMD
        uses: buildalon/setup-steamcmd@v1.0.4

      - name: Sign into steam
        shell: bash
        run: |
          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响 任何曾使用此工作流Action并关联了Steam账户的用户都会受到影响,有效的认证令牌已泄露到作业日志中。这对于公共仓库尤其严重,因为任何拥有GitHub账户的人都可以访问日志并查看该令牌。

受影响版本 小于 1.1.0

已修复版本 1.1.0

安全评估

严重程度

CVSS 总体评分 8.7 / 10

CVSS v4 基础指标

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 攻击前提 (AT): 无 (N)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 无 (N)
  • 脆弱系统机密性影响 (VC): 高 (H)
  • 脆弱系统完整性影响 (VI): 无 (N)
  • 脆弱系统可用性影响 (VA): 无 (N)

完整向量字符串:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

弱点 (CWE)

  • CWE-532: 将敏感信息插入日志文件。写入日志文件的信息可能具有敏感性,为攻击者提供有价值的指引或暴露敏感用户信息。

参考

  • GHSA-mj96-mh85-r574
  • buildalon/setup-steamcmd@c330196

报告者 BrknRobot

发布日期 2025年7月19日

GitHub咨询数据库发布日期 2025年7月21日

审核日期 2025年7月21日

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次