日志泄露 on 办公AI智能小助手

日志泄露 on 办公AI智能小助手 https://blog.qife122.com/tags/%E6%97%A5%E5%BF%97%E6%B3%84%E9%9C%B2/ Recent content in 日志泄露 on 办公AI智能小助手 Hugo zh-cn qife Sun, 09 Nov 2025 08:46:09 +0800 SteamCMD身份验证令牌泄露漏洞分析 https://blog.qife122.com/p/steamcmd%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sun, 09 Nov 2025 08:46:09 +0800 https://blog.qife122.com/p/steamcmd%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="漏洞概述">漏洞概述</h1> <p><strong>GHSA-c5qx-p38x-qf5w</strong> 是一个在 RageAgainstThePixel/setup-steamcmd GitHub Action 中发现的高危安全漏洞。该漏洞导致身份验证令牌在作业输出日志中泄露，可能让攻击者获得对关联 Steam 账户的完全访问权限。</p> <h2 id="受影响版本">受影响版本</h2> <ul> <li>受影响版本：< 1.3.0</li> <li>已修复版本：1.3.0</li> </ul> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="问题描述">问题描述</h3> <p>后作业操作会打印 config/config.vdf 文件的内容，该文件保存了身份验证令牌，可在其他机器上用于登录。这意味着任何公开使用此 Action 的行为都会使相关 Steam 账户的身份验证令牌公开可用。</p> ExactHosting信息泄露漏洞分析：可访问的debug.log文件 https://blog.qife122.com/p/exacthosting%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%8F%AF%E8%AE%BF%E9%97%AE%E7%9A%84debug.log%E6%96%87%E4%BB%B6/ Thu, 23 Oct 2025 20:04:14 +0800 https://blog.qife122.com/p/exacthosting%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E5%8F%AF%E8%AE%BF%E9%97%AE%E7%9A%84debug.log%E6%96%87%E4%BB%B6/ <h1 id="信息泄露通过可访问的debuglog文件在exacthosting上">信息泄露：通过可访问的debug.log文件在ExactHosting上</h1> <h2 id="报告摘要">报告摘要</h2> <ul> <li><strong>报告ID</strong>: #3372277</li> <li><strong>报告者</strong>: 1prince1</li> <li><strong>报告对象</strong>: Tucows (VDP)</li> <li><strong>报告时间</strong>: 2025年10月6日 11:01 UTC</li> <li><strong>披露时间</strong>: 2025年10月14日 20:46 UTC</li> <li><strong>严重程度</strong>: 无评级 (—)</li> <li><strong>弱点类型</strong>: 信息泄露</li> <li><strong>CVE ID</strong>: 无</li> <li><strong>赏金</strong>: 无</li> </ul> <h2 id="时间线">时间线</h2> <ul> <li><strong>2025年10月6日 11:01 UTC</strong>: 1prince1向Tucows (VDP)提交报告</li> <li><strong>后续时间</strong>: HackerOne分析团队h1_analyst_diva发表评论</li> <li><strong>后续时间</strong>: HackerOne分析团队h1_analyst_ace将状态改为"待项目审核"</li> <li><strong>2025年10月7日 18:39 UTC</strong>: Tucows (VDP)工作人员jknight-tc将状态改为"已分类"</li> <li><strong>后续时间</strong>: Tucows (VDP)工作人员spassi-tc关闭报告并将状态改为"信息性"</li> <li><strong>后续时间</strong>: 1prince1请求披露此报告</li> <li><strong>9天前</strong>: Tucows (VDP)工作人员jmercer-tc发表评论</li> <li><strong>9天前</strong>: Tucows (VDP)工作人员jmercer-tc同意披露此报告</li> <li><strong>9天前</strong>: 此报告已被披露</li> </ul> <h2 id="技术说明">技术说明</h2> <p>调试日志文件(debug.log)在ExactHosting平台上可公开访问，存在信息泄露风险。虽然报告中指出调试日志不包含敏感信息，但此类文件的公开访问仍构成安全风险。</p>