SteamCMD GitHub Actions 漏洞:认证令牌在日志中泄露的安全警示

文章披露了 buildalon/setup-steamcmd 这个 GitHub Actions 存在高严重性安全漏洞,版本低于 1.1.0 时会在任务输出日志中泄露 Steam 账户的完整认证令牌,导致账户面临风险。

漏洞详情

软件包: buildalon/setup-steamcmd (GitHub Actions) 受影响版本: < 1.1.0 已修复版本: 1.1.0

描述

概要 任务日志输出中包含提供完整账户访问权限的认证令牌。

详情 该 Action 的后续作业步骤会打印 config/config.vdf 文件的内容,该文件保存了已认证的令牌,可被用于在其他机器上登录。这意味着任何公开使用此 Action 的行为都会导致相关 Steam 账户的认证令牌公开可用。此外,userdata/$user_id$/config/localconfig.vdf 包含潜在的敏感信息,也不应包含在公共日志中。

概念验证 (PoC) 使用以下工作流步骤:

1
2
3
4
5
6
7

steps:
      - name: Setup SteamCMD
        uses: buildalon/setup-steamcmd@v1.0.4
      - name: Sign into steam
        shell: bash
        run: |
          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响 任何曾使用此工作流 Action 并关联了 Steam 账户的用户都会受到影响,其有效的认证令牌已泄露在任务日志中。这对于公共仓库尤其严重,因为任何拥有 GitHub 账户的人都可以访问日志并查看令牌。

参考资料

  • GHSA-mj96-mh85-r574
  • buildalon/setup-steamcmd@c330196

安全信息

严重程度: 高 CVSS 总体评分: 8.7 / 10

CVSS v4 基础指标:

  • 攻击向量: 网络
  • 攻击复杂性: 低
  • 攻击前提: 无
  • 所需权限: 无
  • 用户交互: 无
  • 受影响系统机密性影响: 高
  • 受影响系统完整性影响: 无
  • 受影响系统可用性影响: 无
  • 后续系统机密性影响: 无
  • 后续系统完整性影响: 无
  • 后续系统可用性影响: 无

CVSS:4.0向量: AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

弱点 (CWE): CWE-532 - 将敏感信息插入日志文件

GHSA ID: GHSA-mj96-mh85-r574

来源: buildalon/setup-steamcmd

致谢: BrknRobot (报告者)

发布信息

  • 发布者: StephenHodgson (于 buildalon/setup-steamcmd)
  • 发布时间: 2025年7月19日
  • 发布于 GitHub 安全通告数据库时间: 2025年7月21日
  • 审核时间: 2025年7月21日
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次