SteamCMD身份验证令牌在日志中泄露的严重漏洞

本文详细披露了RageAgainstThePixel/setup-steamcmd GitHub Action的一个高严重性安全漏洞。该漏洞导致Steam账户的身份验证令牌在作业输出日志中被泄露,为攻击者提供了完整的账户访问权限。文章涵盖了漏洞详情、影响范围、概念验证和修复版本。

漏洞详情

: actions (GitHub Actions)

受影响版本: < 1.3.0

已修复版本: 1.3.0

概述: 日志输出包含了提供完整账户访问权限的身份验证令牌。

详情: 作业后的操作会打印 config/config.vdf 文件的内容,该文件保存了身份验证令牌,可用于在另一台机器上登录。这意味着任何公开使用此Action的行为都会将关联Steam账户的身份验证令牌公之于众。此外,userdata/$user_id$/config/localconfig.vdf 包含潜在敏感信息,也不应包含在公共日志中。

概念验证: 使用以下工作流步骤:

1
2
3
4
5
6
7
8

steps:
      - name: Setup SteamCMD
        uses: buildalon/setup-steamcmd@v1.0.4

      - name: Sign into steam
        shell: bash
        run: |
          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响: 任何使用此工作流Action并关联了Steam账户的用户都会受到影响,其有效的身份验证令牌已在作业日志中泄露。这对于公共仓库尤其严重,因为任何拥有GitHub账户的人都可以访问日志并查看令牌。

参考:

  • GHSA-c5qx-p38x-qf5w
  • RageAgainstThePixel/setup-steamcmd@3e4e408

漏洞元数据

发布时间: 2025年7月19日 (至 RageAgainstThePixel/setup-steamcmd)

更新/审查时间: 2025年7月21日

严重程度: 高 (CVSS总分 8.7)

CVSS v4 基准指标:

  • 攻击向量 (AV): 网络 (N)
  • 攻击复杂度 (AC): 低 (L)
  • 攻击要求 (AT): 无 (N)
  • 所需权限 (PR): 无 (N)
  • 用户交互 (UI): 无 (N)
  • 受影响系统机密性影响 (VC): 高 (H)
  • 受影响系统完整性影响 (VI): 无 (N)
  • 受影响系统可用性影响 (VA): 无 (N)
  • 后续系统影响 (SC/SI/SA): 全部为无 (N)

CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

弱点 (CWE): CWE-532 - 将敏感信息插入日志文件

GHSA ID: GHSA-c5qx-p38x-qf5w

CVE ID: 暂无已知CVE

报告者: BrknRobot

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次