SteamCMD GitHub Action高危漏洞:认证令牌泄露于日志文件

文章详细披露了buildalon/setup-steamcmd GitHub Action中的一个高危安全漏洞,版本低于1.1.0时,该动作会在作业日志中泄露包含完整账户访问权限的Steam认证令牌,对公开仓库构成严重风险。

GHSA-mj96-mh85-r574:buildalon/setup-steamcmd 在作业输出日志中泄露认证令牌

漏洞详情

概述

该漏洞导致日志输出中包含了可提供完整账户访问权限的认证令牌。

详细描述

作业的后置操作会打印 config/config.vdf 文件的内容,该文件保存了认证令牌,可用于在其他机器上登录。这意味着任何公开使用此Action的行为都会导致关联Steam账户的认证令牌公开可用。此外,userdata/$user_id$/config/localconfig.vdf 文件包含潜在敏感信息,也不应出现在公开日志中。

概念验证(PoC)

使用以下工作流步骤可复现此问题:

1
2
3
4
5
6
7
8

steps:
      - name: Setup SteamCMD
        uses: buildalon/setup-steamcmd@v1.0.4

      - name: Sign into steam
        shell: bash
        run: |
          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响

任何使用此工作流Action并关联了Steam账户的用户都会受到影响,其有效的认证令牌已在作业日志中泄露。这对于公开仓库尤其严重,因为任何拥有GitHub账户的人都可以访问日志并查看令牌。

技术信息

受影响版本

  • 受影响版本:< 1.1.0
  • 已修复版本:1.1.0

严重程度

  • 严重等级:高
  • CVSS 总体评分:8.7 / 10

CVSS v4 基础指标

  • 攻击向量:网络
  • 攻击复杂性:低
  • 攻击要求:无
  • 所需权限:无
  • 用户交互:无
  • 脆弱系统机密性影响:高
  • 脆弱系统完整性影响:无
  • 脆弱系统可用性影响:无

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

安全弱点(CWE)

  • CWE-532:将敏感信息插入日志文件
    • 产品将敏感信息写入日志文件。

参考信息

  • GHSA-mj96-mh85-r574
  • buildalon/setup-steamcmd@c330196

元数据

  • 发布时间:2025年7月19日
  • 发布至 GitHub Advisory Database 时间:2025年7月21日
  • 审查时间:2025年7月21日
  • 报告者:BrknRobot
  • CVE ID:无已知CVE
  • GHSA ID:GHSA-mj96-mh85-r574
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次