GitHub代码扫描高危漏洞：调试制品可能泄露包括GITHUB_TOKEN在内的机密信息

Tue, 30 Dec 2025 11:53:18 +0800

CVE-2025-24362：GitHub PAT 被写入调试制品

漏洞详情

软件包

软件包: actions
仓库: github/codeql-action (GitHub Actions)

受影响版本

>= 3.26.11, <= 3.28.2
>= 2.26.11, < 3.0.0

已修补版本

3.28.3

描述

影响摘要

在某些情况下，代码扫描工作流运行失败后，CodeQL Action 上传的调试制品可能包含来自该工作流运行的环境变量，包括任何作为环境变量暴露给工作流的机密信息。拥有仓库读取权限的用户将能够访问此制品，从而获取环境中的任何机密。对于某些受影响的工作流运行，调试制品中暴露的环境变量包含一个对该工作流运行有效的 GITHUB_TOKEN。该令牌有权访问工作流运行的仓库，并拥有工作流或任务中指定的所有权限。GITHUB_TOKEN 的有效期至任务完成或 24 小时（以先到者为准）。仅在满足以下所有条件的工作流运行中，环境变量才会被暴露：

GitHub CodeQL Action高危漏洞：调试构件泄露敏感令牌

Wed, 10 Dec 2025 02:39:25 +0800

GitHub PAT写入调试构件：CVE-2025-24362漏洞分析

漏洞概述

CVE-2025-24362 是一个影响GitHub CodeQL Action的高严重性漏洞。在特定情况下，CodeQL Action在上传代码扫描工作流运行失败后的调试构件时，可能包含工作流运行中的环境变量，其中包括任何作为环境变量暴露给工作流的机密信息。拥有仓库读取权限的用户将能够访问此构件，从而获取环境中的任何机密。

CVE-2025-24362 on 办公AI智能小助手