https://blog.qife122.com/tags/%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2/ Recent content in 令牌泄露 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 20:44:54 +0800 https://blog.qife122.com/p/kubernetes-azure%E6%96%87%E4%BB%B6csi%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E6%BC%8F%E6%B4%9E%E6%9C%8D%E5%8A%A1%E8%B4%A6%E6%88%B7%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Sun, 11 Jan 2026 20:44:54 +0800 https://blog.qife122.com/p/kubernetes-azure%E6%96%87%E4%BB%B6csi%E9%A9%B1%E5%8A%A8%E7%A8%8B%E5%BA%8F%E6%BC%8F%E6%B4%9E%E6%9C%8D%E5%8A%A1%E8%B4%A6%E6%88%B7%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2024-3744-azure-file-csi-driver-在日志中泄露服务账户令牌">CVE-2024-3744: azure-file-csi-driver 在日志中泄露服务账户令牌</h1> <p><strong>CVSS评分</strong>: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N - <strong>中危 (6.5)</strong></p> <h2 id="问题描述">问题描述</h2> <p>在 <code>azure-file-csi-driver</code> 中发现一个安全问题：拥有驱动程序日志访问权限的攻击者可以观察到服务账户令牌。这些令牌随后可能被用来与外部云提供商交换，以访问存储在云保险库解决方案中的机密信息。</p> https://blog.qife122.com/p/github-actions-%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Eget-workflow-version-action-%E5%8F%AF%E8%83%BD%E6%B3%84%E9%9C%B2%E9%83%A8%E5%88%86-github_token/ Wed, 10 Dec 2025 09:17:48 +0800 https://blog.qife122.com/p/github-actions-%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Eget-workflow-version-action-%E5%8F%AF%E8%83%BD%E6%B3%84%E9%9C%B2%E9%83%A8%E5%88%86-github_token/ <h1 id="canonicalget-workflow-version-action-在异常输出中可能泄露部分-github_token--cve-2025-31479--github-安全公告数据库">canonical/get-workflow-version-action 在异常输出中可能泄露部分 GITHUB_TOKEN · CVE-2025-31479 · GitHub 安全公告数据库</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="软件包">软件包</h3> <ul> <li><strong>actions</strong>: canonical/get-workflow-version-action (GitHub Actions)</li> </ul> <h3 id="受影响版本">受影响版本</h3> <p>&lt; 1.0.1</p> <h3 id="已修复版本">已修复版本</h3> <p>1.0.1</p> <h2 id="描述">描述</h2> <h3 id="影响">影响</h3> <p>使用了 <code>github-token</code> 输入的用户会受到影响。</p> <p>如果 <code>get-workflow-version-action</code> 步骤执行失败，其异常输出中可能包含 <code>GITHUB_TOKEN</code>。如果完整的令牌包含在异常输出中，GitHub 会自动从 GitHub Actions 日志中屏蔽该密钥。然而，令牌可能会被截断——导致部分 <code>GITHUB_TOKEN</code> 以明文形式显示在 GitHub Actions 日志中。</p> https://blog.qife122.com/p/github-action%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Esteamcmd%E4%BB%A4%E7%89%8C%E6%84%8F%E5%A4%96%E6%B3%84%E9%9C%B2%E8%87%B3%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6/ Sun, 07 Dec 2025 15:16:34 +0800 https://blog.qife122.com/p/github-action%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Esteamcmd%E4%BB%A4%E7%89%8C%E6%84%8F%E5%A4%96%E6%B3%84%E9%9C%B2%E8%87%B3%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6/ <h1 id="ghsa-mj96-mh85-r574buildalonsetup-steamcmd-在作业输出日志中泄露认证令牌">GHSA-mj96-mh85-r574：buildalon/setup-steamcmd 在作业输出日志中泄露认证令牌</h1> <h2 id="漏洞详情">漏洞详情</h2> <p><strong>摘要</strong> 作业日志输出包含可提供完整账户访问权限的认证令牌。</p> <p><strong>详情</strong> 该Action的后续作业操作会打印 <code>config/config.vdf</code> 文件的内容，该文件保存了已认证的令牌，并可用于在另一台机器上登录。这意味着任何公开使用此Action的操作都会导致关联Steam账户的认证令牌公开可用。此外，<code>userdata/$user_id$/config/localconfig.vdf</code> 包含潜在敏感信息，这些信息不应出现在公共日志中。</p> https://blog.qife122.com/p/github-actions%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Egithub_token%E9%83%A8%E5%88%86%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E5%88%86%E6%9E%90/ Sat, 01 Nov 2025 10:19:54 +0800 https://blog.qife122.com/p/github-actions%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Egithub_token%E9%83%A8%E5%88%86%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E5%88%86%E6%9E%90/ <h1 id="cve-2025-31479canonicalget-workflow-version-action可能泄露部分github_token">CVE-2025-31479：canonical/get-workflow-version-action可能泄露部分GITHUB_TOKEN</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="受影响包">受影响包</h3> <ul> <li><strong>包名</strong>: actions</li> <li><strong>组件</strong>: canonical/get-workflow-version-action (GitHub Actions)</li> </ul> <h3 id="版本信息">版本信息</h3> <ul> <li><strong>受影响版本</strong>: &lt; 1.0.1</li> <li><strong>修复版本</strong>: 1.0.1</li> </ul> <h2 id="影响分析">影响分析</h2> <h3 id="受影响用户">受影响用户</h3> <p>使用<code>github-token</code>输入参数的用户将受到影响。</p> <h3 id="漏洞描述">漏洞描述</h3> <p>当get-workflow-version-action步骤失败时，异常输出可能包含GITHUB_TOKEN。虽然完整令牌包含在异常输出中时GitHub会自动从GitHub Actions日志中屏蔽该密钥，但令牌可能被截断，导致部分GITHUB_TOKEN以明文形式显示在GitHub Actions日志中。</p>