RageAgainstThePixel/setup-steamcmd在作业输出日志中泄漏认证令牌 · GHSA-c5qx-p38x-qf5w · GitHub Advisory Database · GitHub

漏洞详情

包: actions

受影响仓库: RageAgainstThePixel/setup-steamcmd (GitHub Actions)

受影响版本: < 1.3.0

已修复版本: 1.3.0

描述

摘要: 日志输出包含提供完全账户访问权限的认证令牌

详情: 作业后操作打印了config/config.vdf文件的内容，该文件保存了认证令牌，可用于在另一台机器上登录。这意味着任何公开使用此操作都会使相关Steam账户的认证令牌公开可用。此外，userdata/$user_id$/config/localconfig.vdf包含潜在敏感信息，不应包含在公开日志中。

PoC: 使用以下工作流步骤

1
2
3
4
5
6
7
8

steps:
      - name: Setup SteamCMD
        uses: buildalon/setup-steamcmd@v1.0.4

      - name: Sign into steam
        shell: bash
        run: |
          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响: 任何使用此工作流操作与Steam账户的用户都会受到影响，并且有效的认证令牌已在作业日志中泄漏。这对于公共仓库尤其糟糕，因为任何拥有GitHub账户的人都可以访问日志并查看令牌。

参考:

• GHSA-c5qx-p38x-qf5w
• RageAgainstThePixel/setup-steamcmd@3e4e408

漏洞信息

报告者: StephenHodgson

发布时间: 2025年7月19日

发布至GitHub Advisory Database: 2025年7月21日

审核时间: 2025年7月21日

最后更新: 2025年7月21日

严重程度

等级: 高

CVSS总体评分: 8.7/10

CVSS v4基础指标

可利用性指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击要求: 无
• 所需权限: 无
• 用户交互: 无

脆弱系统影响指标:

• 机密性: 高
• 完整性: 无
• 可用性: 无

后续系统影响指标:

• 机密性: 无
• 完整性: 无
• 可用性: 无

CVSS v4向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

弱点

弱点标识: CWE-532

描述: 敏感信息插入日志文件 - 写入日志文件的信息可能具有敏感性质，为攻击者提供有价值的指导或暴露敏感用户信息。

标识符

CVE ID: 未知CVE

GHSA ID: GHSA-c5qx-p38x-qf5w

源代码: RageAgainstThePixel/setup-steamcmd

致谢

报告者: BrknRobot