https://blog.qife122.com/tags/%E4%BB%A4%E7%89%8C%E6%B3%84%E6%BC%8F/ Recent content in 令牌泄漏 on 办公AI智能小助手 Hugo zh-cn qife Thu, 01 Jan 2026 19:37:05 +0800 https://blog.qife122.com/p/steamcmd-github-action-%E6%B3%84%E6%BC%8F%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Thu, 01 Jan 2026 19:37:05 +0800 https://blog.qife122.com/p/steamcmd-github-action-%E6%B3%84%E6%BC%8F%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="buildalonsetup-steamcmd-在工作输出日志中泄漏认证令牌">buildalon/setup-steamcmd 在工作输出日志中泄漏认证令牌</h1> <p><strong>漏洞编号</strong>: GHSA-mj96-mh85-r574</p> <p><strong>严重等级</strong>: 高 (CVSS 评分 8.7)</p> <p><strong>漏洞状态</strong>: 已由 GitHub 审核</p> <p><strong>发布日期</strong>: 2025年7月19日</p> <p><strong>受影响仓库</strong>: <code>buildalon/setup-steamcmd</code> (GitHub Actions)</p> <p><strong>受影响版本</strong>: &lt; 1.1.0</p> https://blog.qife122.com/p/github-action%E6%BC%8F%E6%B4%9Esetup-steamcmd%E6%B3%84%E6%BC%8Fsteam%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E8%87%B3%E6%97%A5%E5%BF%97/ Sat, 13 Dec 2025 18:07:47 +0800 https://blog.qife122.com/p/github-action%E6%BC%8F%E6%B4%9Esetup-steamcmd%E6%B3%84%E6%BC%8Fsteam%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E8%87%B3%E6%97%A5%E5%BF%97/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>包</strong>: actions / RageAgainstThePixel/setup-steamcmd (GitHub Actions)</p> <p><strong>受影响版本</strong>: &lt; 1.3.0 <strong>已修复版本</strong>: 1.3.0</p> <h3 id="描述">描述</h3> <h4 id="概要">概要</h4> <p>日志输出中包含提供完整账户访问权限的认证令牌。</p> <h4 id="详情">详情</h4> <p>该Action的“后作业”操作打印了 <code>config/config.vdf</code> 文件的内容，该文件保存了已认证的令牌，可用于在另一台机器上登录。这意味着任何公开使用此Action的行为都会导致相关Steam账户的认证令牌公开可用。此外，<code>userdata/$user_id$/config/localconfig.vdf</code> 包含潜在敏感信息，也不应包含在公共日志中。</p>