https://blog.qife122.com/tags/github_token%E6%B3%84%E9%9C%B2/ Recent content in GITHUB_TOKEN泄露 on 办公AI智能小助手 Hugo zh-cn qife Wed, 05 Nov 2025 04:44:35 +0800 https://blog.qife122.com/p/github-actions%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Egithub_token%E9%83%A8%E5%88%86%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E5%88%86%E6%9E%90/ Wed, 05 Nov 2025 04:44:35 +0800 https://blog.qife122.com/p/github-actions%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9Egithub_token%E9%83%A8%E5%88%86%E6%B3%84%E9%9C%B2%E9%A3%8E%E9%99%A9%E5%88%86%E6%9E%90/ <h1 id="cve-2025-31479canonicalget-workflow-version-action可能泄露部分github_token">CVE-2025-31479：canonical/get-workflow-version-action可能泄露部分GITHUB_TOKEN</h1> <h2 id="漏洞详情">漏洞详情</h2> <p><strong>包名</strong>: actions<br> <strong>受影响组件</strong>: canonical/get-workflow-version-action (GitHub Actions)<br> <strong>受影响版本</strong>: &lt; 1.0.1<br> <strong>已修复版本</strong>: 1.0.1</p> <h2 id="影响分析">影响分析</h2> <p>使用github-token输入的用户会受到此漏洞影响。</p> <p>当get-workflow-version-action步骤失败时，异常输出可能包含GITHUB_TOKEN。如果完整令牌包含在异常输出中，GitHub会自动从GitHub Actions日志中编辑该密钥。但是，令牌可能被截断——导致部分GITHUB_TOKEN以明文形式显示在GitHub Actions日志中。</p>