CVE-2025-31479 on 办公AI智能小助手 https://blog.qife122.com/tags/cve-2025-31479/ Recent content in CVE-2025-31479 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 01:53:12 +0800 GitHub Actions令牌泄露与供应链攻击风险详解 https://blog.qife122.com/p/github-actions%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E4%B8%8E%E4%BE%9B%E5%BA%94%E9%93%BE%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ Mon, 12 Jan 2026 01:53:12 +0800 https://blog.qife122.com/p/github-actions%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E4%B8%8E%E4%BE%9B%E5%BA%94%E9%93%BE%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ <h1 id="github-actions令牌泄露与供应链攻击风险详解">GitHub Actions令牌泄露与供应链攻击风险详解</h1> <p>本文综合分析了多个与GitHub Actions安全相关的公开资料,核心聚焦于一个具体的漏洞(CVE-2025-31479)及其背后揭示的更大范围的供应链攻击风险。</p> GitHub Actions 安全漏洞:get-workflow-version-action 可能泄露部分 GITHUB_TOKEN https://blog.qife122.com/p/github-actions-%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Eget-workflow-version-action-%E5%8F%AF%E8%83%BD%E6%B3%84%E9%9C%B2%E9%83%A8%E5%88%86-github_token/ Wed, 10 Dec 2025 09:17:48 +0800 https://blog.qife122.com/p/github-actions-%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Eget-workflow-version-action-%E5%8F%AF%E8%83%BD%E6%B3%84%E9%9C%B2%E9%83%A8%E5%88%86-github_token/ <h1 id="canonicalget-workflow-version-action-在异常输出中可能泄露部分-github_token--cve-2025-31479--github-安全公告数据库">canonical/get-workflow-version-action 在异常输出中可能泄露部分 GITHUB_TOKEN · CVE-2025-31479 · GitHub 安全公告数据库</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="软件包">软件包</h3> <ul> <li><strong>actions</strong>: canonical/get-workflow-version-action (GitHub Actions)</li> </ul> <h3 id="受影响版本">受影响版本</h3> <p>&lt; 1.0.1</p> <h3 id="已修复版本">已修复版本</h3> <p>1.0.1</p> <h2 id="描述">描述</h2> <h3 id="影响">影响</h3> <p>使用了 <code>github-token</code> 输入的用户会受到影响。</p> <p>如果 <code>get-workflow-version-action</code> 步骤执行失败,其异常输出中可能包含 <code>GITHUB_TOKEN</code>。如果完整的令牌包含在异常输出中,GitHub 会自动从 GitHub Actions 日志中屏蔽该密钥。然而,令牌可能会被截断——导致部分 <code>GITHUB_TOKEN</code> 以明文形式显示在 GitHub Actions 日志中。</p> GitHub Actions安全漏洞:GITHUB_TOKEN部分泄露风险分析 https://blog.qife122.com/p/github-actions%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Egithub_token%E9%83%A8%E5%88%86%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E5%88%86%E6%9E%90/ Sat, 01 Nov 2025 10:19:54 +0800 https://blog.qife122.com/p/github-actions%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Egithub_token%E9%83%A8%E5%88%86%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E5%88%86%E6%9E%90/ <h1 id="cve-2025-31479canonicalget-workflow-version-action可能泄露部分github_token">CVE-2025-31479:canonical/get-workflow-version-action可能泄露部分GITHUB_TOKEN</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="受影响包">受影响包</h3> <ul> <li><strong>包名</strong>: actions</li> <li><strong>组件</strong>: canonical/get-workflow-version-action (GitHub Actions)</li> </ul> <h3 id="版本信息">版本信息</h3> <ul> <li><strong>受影响版本</strong>: &lt; 1.0.1</li> <li><strong>修复版本</strong>: 1.0.1</li> </ul> <h2 id="影响分析">影响分析</h2> <h3 id="受影响用户">受影响用户</h3> <p>使用<code>github-token</code>输入参数的用户将受到影响。</p> <h3 id="漏洞描述">漏洞描述</h3> <p>当get-workflow-version-action步骤失败时,异常输出可能包含GITHUB_TOKEN。虽然完整令牌包含在异常输出中时GitHub会自动从GitHub Actions日志中屏蔽该密钥,但令牌可能被截断,导致部分GITHUB_TOKEN以明文形式显示在GitHub Actions日志中。</p>