https://blog.qife122.com/tags/steamcmd/ Recent content in SteamCMD on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 07:37:31 +0800 https://blog.qife122.com/p/steamcmd-github-action%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E4%BA%8E%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6/ Mon, 12 Jan 2026 07:37:31 +0800 https://blog.qife122.com/p/steamcmd-github-action%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E9%9C%B2%E4%BA%8E%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6/ <h1 id="ghsa-mj96-mh85-r574buildalonsetup-steamcmd-在作业输出日志中泄露认证令牌">GHSA-mj96-mh85-r574：buildalon/setup-steamcmd 在作业输出日志中泄露认证令牌</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="概述">概述</h3> <p>该漏洞导致日志输出中包含了可提供完整账户访问权限的认证令牌。</p> <h3 id="详细描述">详细描述</h3> <p>作业的后置操作会打印 <code>config/config.vdf</code> 文件的内容，该文件保存了认证令牌，可用于在其他机器上登录。这意味着任何公开使用此Action的行为都会导致关联Steam账户的认证令牌公开可用。此外，<code>userdata/$user_id$/config/localconfig.vdf</code> 文件包含潜在敏感信息，也不应出现在公开日志中。</p> https://blog.qife122.com/p/steamcmd-github-actions-%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E5%9C%A8%E6%97%A5%E5%BF%97%E4%B8%AD%E6%B3%84%E9%9C%B2%E7%9A%84%E5%AE%89%E5%85%A8%E8%AD%A6%E7%A4%BA/ Sat, 03 Jan 2026 10:45:50 +0800 https://blog.qife122.com/p/steamcmd-github-actions-%E6%BC%8F%E6%B4%9E%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E5%9C%A8%E6%97%A5%E5%BF%97%E4%B8%AD%E6%B3%84%E9%9C%B2%E7%9A%84%E5%AE%89%E5%85%A8%E8%AD%A6%E7%A4%BA/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>软件包</strong>: buildalon/setup-steamcmd (GitHub Actions) <strong>受影响版本</strong>: &lt; 1.1.0 <strong>已修复版本</strong>: 1.1.0</p> <h3 id="描述">描述</h3> <p><strong>概要</strong> 任务日志输出中包含提供完整账户访问权限的认证令牌。</p> <p><strong>详情</strong> 该 Action 的后续作业步骤会打印 <code>config/config.vdf</code> 文件的内容，该文件保存了已认证的令牌，可被用于在其他机器上登录。这意味着任何公开使用此 Action 的行为都会导致相关 Steam 账户的认证令牌公开可用。此外，<code>userdata/$user_id$/config/localconfig.vdf</code> 包含潜在的敏感信息，也不应包含在公共日志中。</p> https://blog.qife122.com/p/steamcmd%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E4%BB%A4%E7%89%8C%E5%9C%A8%E6%97%A5%E5%BF%97%E4%B8%AD%E6%B3%84%E9%9C%B2%E7%9A%84%E4%B8%A5%E9%87%8D%E6%BC%8F%E6%B4%9E/ Sat, 13 Dec 2025 16:50:23 +0800 https://blog.qife122.com/p/steamcmd%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E4%BB%A4%E7%89%8C%E5%9C%A8%E6%97%A5%E5%BF%97%E4%B8%AD%E6%B3%84%E9%9C%B2%E7%9A%84%E4%B8%A5%E9%87%8D%E6%BC%8F%E6%B4%9E/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>包</strong>: actions (GitHub Actions)</p> <p><strong>受影响版本</strong>: &lt; 1.3.0</p> <p><strong>已修复版本</strong>: 1.3.0</p> <p><strong>概述</strong>: 日志输出包含了提供完整账户访问权限的身份验证令牌。</p> <p><strong>详情</strong>: 作业后的操作会打印 <code>config/config.vdf</code> 文件的内容，该文件保存了身份验证令牌，可用于在另一台机器上登录。这意味着任何公开使用此Action的行为都会将关联Steam账户的身份验证令牌公之于众。此外，<code>userdata/$user_id$/config/localconfig.vdf</code> 包含潜在敏感信息，也不应包含在公共日志中。</p> https://blog.qife122.com/p/github-actions%E6%BC%8F%E6%B4%9E%E6%9B%9D%E5%85%89steamcmd%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E6%BC%8F%E9%A3%8E%E9%99%A9%E8%A7%A3%E6%9E%90/ Thu, 04 Dec 2025 00:43:44 +0800 https://blog.qife122.com/p/github-actions%E6%BC%8F%E6%B4%9E%E6%9B%9D%E5%85%89steamcmd%E8%AE%A4%E8%AF%81%E4%BB%A4%E7%89%8C%E6%B3%84%E6%BC%8F%E9%A3%8E%E9%99%A9%E8%A7%A3%E6%9E%90/ <h1 id="rageagainstthepixelsetup-steamcmd在作业输出日志中泄漏认证令牌--ghsa-c5qx-p38x-qf5w--github-advisory-database--github">RageAgainstThePixel/setup-steamcmd在作业输出日志中泄漏认证令牌 · GHSA-c5qx-p38x-qf5w · GitHub Advisory Database · GitHub</h1> <h2 id="漏洞详情">漏洞详情</h2> <p><strong>包</strong>: actions</p> <p><strong>受影响仓库</strong>: RageAgainstThePixel/setup-steamcmd (GitHub Actions)</p> <p><strong>受影响版本</strong>: &lt; 1.3.0</p> <p><strong>已修复版本</strong>: 1.3.0</p> <h3 id="描述">描述</h3> <p><strong>摘要</strong>: 日志输出包含提供完全账户访问权限的认证令牌</p> <p><strong>详情</strong>: 作业后操作打印了config/config.vdf文件的内容，该文件保存了认证令牌，可用于在另一台机器上登录。这意味着任何公开使用此操作都会使相关Steam账户的认证令牌公开可用。此外，userdata/$user_id$/config/localconfig.vdf包含潜在敏感信息，不应包含在公开日志中。</p>