漏洞详情

包: actions / RageAgainstThePixel/setup-steamcmd (GitHub Actions)

受影响版本: < 1.3.0 已修复版本: 1.3.0

描述

概要

日志输出中包含提供完整账户访问权限的认证令牌。

详情

该Action的“后作业”操作打印了 config/config.vdf 文件的内容，该文件保存了已认证的令牌，可用于在另一台机器上登录。这意味着任何公开使用此Action的行为都会导致相关Steam账户的认证令牌公开可用。此外，userdata/$user_id$/config/localconfig.vdf 包含潜在敏感信息，也不应包含在公共日志中。

概念验证（PoC）

使用以下工作流程步骤：

1
2
3
4
5
6
7
8

steps:
      - name: Setup SteamCMD
        uses: buildalon/setup-steamcmd@v1.0.4

      - name: Sign into steam
        shell: bash
        run: |
          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响

任何曾使用此工作流Action并关联了Steam账户的用户都会受到影响，有效的认证令牌已在作业日志中泄露。这对于公共仓库尤为严重，因为任何拥有GitHub账户的人都可以访问日志并查看令牌。

参考

• GHSA-c5qx-p38x-qf5w
• RageAgainstThePixel/setup-steamcmd@3e4e408

安全信息

严重等级: 高 CVSS总体评分: 8.7 / 10

CVSS v4 基础指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击要求: 无
• 所需权限: 无
• 用户交互: 无
• 脆弱系统影响指标 - 保密性: 高
• 脆弱系统影响指标 - 完整性: 无
• 脆弱系统影响指标 - 可用性: 无
• 后续系统影响指标 - 保密性、完整性、可用性: 无

CVSS向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

弱点:

• CWE-532: 将敏感信息插入日志文件 – 产品将敏感信息写入日志文件。

GHSA ID: GHSA-c5qx-p38x-qf5w CVE ID: 暂无已知CVE

致谢: 由 BrknRobot 报告。