https://blog.qife122.com/tags/%E6%9C%BA%E5%AF%86%E6%B3%84%E9%9C%B2/ Recent content in 机密泄露 on 办公AI智能小助手 Hugo zh-cn qife Tue, 30 Dec 2025 11:53:18 +0800 https://blog.qife122.com/p/github%E4%BB%A3%E7%A0%81%E6%89%AB%E6%8F%8F%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%B0%83%E8%AF%95%E5%88%B6%E5%93%81%E5%8F%AF%E8%83%BD%E6%B3%84%E9%9C%B2%E5%8C%85%E6%8B%ACgithub_token%E5%9C%A8%E5%86%85%E7%9A%84%E6%9C%BA%E5%AF%86%E4%BF%A1%E6%81%AF/ Tue, 30 Dec 2025 11:53:18 +0800 https://blog.qife122.com/p/github%E4%BB%A3%E7%A0%81%E6%89%AB%E6%8F%8F%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%B0%83%E8%AF%95%E5%88%B6%E5%93%81%E5%8F%AF%E8%83%BD%E6%B3%84%E9%9C%B2%E5%8C%85%E6%8B%ACgithub_token%E5%9C%A8%E5%86%85%E7%9A%84%E6%9C%BA%E5%AF%86%E4%BF%A1%E6%81%AF/ <h1 id="cve-2025-24362github-pat-被写入调试制品">CVE-2025-24362：GitHub PAT 被写入调试制品</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="软件包">软件包</h3> <ul> <li><strong>软件包</strong>: actions</li> <li><strong>仓库</strong>: <code>github/codeql-action</code> (GitHub Actions)</li> </ul> <h3 id="受影响版本">受影响版本</h3> <ul> <li><code>&gt;= 3.26.11, &lt;= 3.28.2</code></li> <li><code>&gt;= 2.26.11, &lt; 3.0.0</code></li> </ul> <h3 id="已修补版本">已修补版本</h3> <ul> <li><code>3.28.3</code></li> </ul> <h2 id="描述">描述</h2> <h3 id="影响摘要">影响摘要</h3> <p>在某些情况下，代码扫描工作流运行失败后，CodeQL Action 上传的调试制品可能包含来自该工作流运行的环境变量，包括任何作为环境变量暴露给工作流的机密信息。拥有仓库读取权限的用户将能够访问此制品，从而获取环境中的任何机密。 对于某些受影响的工作流运行，调试制品中暴露的环境变量包含一个对该工作流运行有效的 <code>GITHUB_TOKEN</code>。该令牌有权访问工作流运行的仓库，并拥有工作流或任务中指定的所有权限。<code>GITHUB_TOKEN</code> 的有效期至任务完成或 24 小时（以先到者为准）。 仅在满足以下所有条件的工作流运行中，环境变量才会被暴露：</p>