SteamCMD身份验证令牌泄露漏洞分析

本文详细分析了buildalon/setup-steamcmd动作中存在的安全漏洞,该漏洞会导致Steam身份验证令牌在作业输出日志中泄露,可能让攻击者完全访问相关Steam账户。

GHSA-mj96-mh85-r574安全漏洞分析

漏洞概述

buildalon/setup-steamcmd GitHub Action 在作业输出日志中泄露了身份验证令牌,该令牌提供对关联Steam账户的完全访问权限。

受影响版本

  • 受影响版本:< 1.1.0
  • 已修复版本:1.1.0

漏洞详情

问题描述

后置作业操作会打印 config/config.vdf 文件的内容,该文件保存了身份验证令牌,可在其他机器上用于登录。这意味着任何公开使用此Action的操作都会使相关Steam账户的身份验证令牌公开可用。

此外,userdata/$user_id$/config/localconfig.vdf 包含潜在敏感信息,这些信息不应包含在公共日志中。

漏洞复现步骤 

1
2
3
4
5
6
7
8

steps:
  - name: Setup SteamCMD
    uses: buildalon/setup-steamcmd@v1.0.4

  - name: Sign into steam
    shell: bash
    run: |
      steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响范围

任何使用此工作流Action的Steam账户用户都会受到影响,有效的身份验证令牌已在作业日志中泄露。这对于公共仓库尤其严重,因为任何拥有GitHub账户的人都可以访问日志并查看令牌。

安全评分

CVSS总体评分:8.7/10(高危)

CVSS v4基础指标

  • 攻击向量:网络
  • 攻击复杂度:低
  • 攻击要求:无
  • 所需权限:无
  • 用户交互:无
  • 机密性影响:高
  • 完整性影响:无
  • 可用性影响:无

相关弱点

CWE-532:将敏感信息插入日志文件 写入日志文件的信息可能具有敏感性,为攻击者提供有价值的指导或暴露敏感用户信息。

参考信息

  • GHSA-mj96-mj96-mh85-r574
  • buildalon/setup-steamcmd@c330196

时间线

  • 2025年7月19日:StephenHodgson发布至buildalon/setup-steamcmd
  • 2025年7月21日:发布至GitHub Advisory Database
  • 2025年7月21日:完成审核
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次