https://blog.qife122.com/tags/%E8%AE%A4%E8%AF%81%E6%B3%84%E9%9C%B2/ Recent content in 认证泄露 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 07:37:31 +0800 https://blog.qife122.com/p/steamcmd-github-action%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E4%BA%8E%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6/ Mon, 12 Jan 2026 07:37:31 +0800 https://blog.qife122.com/p/steamcmd-github-action%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E4%BA%8E%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6/ <h1 id="ghsa-mj96-mh85-r574buildalonsetup-steamcmd-在作业输出日志中泄露认证令牌">GHSA-mj96-mh85-r574：buildalon/setup-steamcmd 在作业输出日志中泄露认证令牌</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="概述">概述</h3> <p>该漏洞导致日志输出中包含了可提供完整账户访问权限的认证令牌。</p> <h3 id="详细描述">详细描述</h3> <p>作业的后置操作会打印 <code>config/config.vdf</code> 文件的内容，该文件保存了认证令牌，可用于在其他机器上登录。这意味着任何公开使用此Action的行为都会导致关联Steam账户的认证令牌公开可用。此外，<code>userdata/$user_id$/config/localconfig.vdf</code> 文件包含潜在敏感信息，也不应出现在公开日志中。</p> https://blog.qife122.com/p/curl-alt-svc-%E7%89%B9%E6%80%A7%E7%BB%95%E8%BF%87%E8%AE%A4%E8%AF%81%E5%87%AD%E8%AF%81%E4%BF%9D%E6%8A%A4%E6%9C%BA%E5%88%B6%E8%AF%A6%E8%A7%A3/ Mon, 12 Jan 2026 02:48:28 +0800 https://blog.qife122.com/p/curl-alt-svc-%E7%89%B9%E6%80%A7%E7%BB%95%E8%BF%87%E8%AE%A4%E8%AF%81%E5%87%AD%E8%AF%81%E4%BF%9D%E6%8A%A4%E6%9C%BA%E5%88%B6%E8%AF%A6%E8%A7%A3/ <h1 id="alt-svc-绕过凭证泄露防护-cve-2018-1000007">Alt-Svc 绕过凭证泄露防护 (CVE-2018-1000007)</h1> <p><strong>报告时间</strong>： 2026年1月3日，下午4:30 (UTC) <strong>报告人</strong>： amik_f <strong>报告给</strong>： curl <strong>报告ID</strong>： #3485826 <strong>严重性</strong>： 高 (7 ~ 8.9) <strong>弱点</strong>： 通过发送的数据泄露信息 <strong>CVE ID</strong>： CVE-2018-1000007</p> https://blog.qife122.com/p/steamcmd-github-actions-%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E5%9C%A8%E6%97%A5%E5%BF%97%E4%B8%AD%E6%B3%84%E9%9C%B2%E7%9A%84%E5%AE%89%E5%85%A8%E8%AD%A6%E7%A4%BA/ Sat, 03 Jan 2026 10:45:50 +0800 https://blog.qife122.com/p/steamcmd-github-actions-%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E5%9C%A8%E6%97%A5%E5%BF%97%E4%B8%AD%E6%B3%84%E9%9C%B2%E7%9A%84%E5%AE%89%E5%85%A8%E8%AD%A6%E7%A4%BA/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>软件包</strong>: buildalon/setup-steamcmd (GitHub Actions) <strong>受影响版本</strong>: &lt; 1.1.0 <strong>已修复版本</strong>: 1.1.0</p> <h3 id="描述">描述</h3> <p><strong>概要</strong> 任务日志输出中包含提供完整账户访问权限的认证令牌。</p> <p><strong>详情</strong> 该 Action 的后续作业步骤会打印 <code>config/config.vdf</code> 文件的内容，该文件保存了已认证的令牌，可被用于在其他机器上登录。这意味着任何公开使用此 Action 的行为都会导致相关 Steam 账户的认证令牌公开可用。此外，<code>userdata/$user_id$/config/localconfig.vdf</code> 包含潜在的敏感信息，也不应包含在公共日志中。</p>