https://blog.qife122.com/tags/github%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2/ Recent content in GitHub令牌泄露 on 办公AI智能小助手 Hugo zh-cn qife Wed, 26 Nov 2025 10:35:09 +0800 https://blog.qife122.com/p/github%E4%BB%A3%E7%A0%81%E6%89%AB%E6%8F%8F%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E8%B0%83%E8%AF%95%E6%9E%84%E4%BB%B6%E6%B3%84%E9%9C%B2%E6%95%8F%E6%84%9F%E4%BB%A4%E7%89%8Ccve-2025-24362/ Wed, 26 Nov 2025 10:35:09 +0800 https://blog.qife122.com/p/github%E4%BB%A3%E7%A0%81%E6%89%AB%E6%8F%8F%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E8%B0%83%E8%AF%95%E6%9E%84%E4%BB%B6%E6%B3%84%E9%9C%B2%E6%95%8F%E6%84%9F%E4%BB%A4%E7%89%8Ccve-2025-24362/ <h2 id="漏洞详情">漏洞详情</h2> <h3 id="影响摘要">影响摘要</h3> <p>在某些情况下，CodeQL Action在代码扫描工作流运行失败后上传的调试构件可能包含工作流运行的环境变量，包括任何作为环境变量暴露给工作流的密钥。具有仓库读取权限的用户将能够访问此构件，其中包含环境中的任何密钥。</p>