高危漏洞警告：GitHub Action 意外泄露 Steam 账户认证令牌

漏洞详情

包：buildalon/setup-steamcmd (GitHub Actions)

受影响版本：< 1.1.0

已修复版本：1.1.0

描述

概述该 Action 的日志输出包含了一个身份验证令牌，该令牌提供了对关联 Steam 账户的完全访问权限。

详情该 Action 的后置作业步骤会打印 config/config.vdf 文件的内容，该文件保存了已登录的认证令牌，可被用于在另一台机器上登录 Steam。这意味着任何公开使用此 Action 的行为都会将关联 Steam 账户的认证令牌公开暴露。此外，userdata/$user_id$/config/localconfig.vdf 文件也可能包含不应出现在公共日志中的敏感信息。

概念验证使用以下工作流步骤可复现问题：

steps:      - name: Setup SteamCMD        uses: buildalon/setup-steamcmd@v1.0.4      - name: Sign into steam        shell: bash        run: |          steamcmd +login ${{ secrets.WORKSHOP_USERNAME }} ${{ secrets.WORKSHOP_PASSWORD }} +quit

影响任何曾使用此 Action 并登录过 Steam 账户的用户都会受到影响，其有效的身份验证令牌已在作业日志中泄露。这对于公共仓库尤其严重，因为任何拥有 GitHub 账户的人都可以访问这些日志并查看令牌。

参考信息

• GHSA-mj96-mh85-r574

• buildalon/setup-steamcmd@c330196
  

严重性评级

严重等级：高 CVSS 总体评分：8.7 / 10

CVSS v4 基础指标

• 攻击向量：网络

• 攻击复杂度：低

• 所需权限：无

• 用户交互：无

• 受影响系统机密性影响：高

• 受影响系统完整性影响：无

• 受影响系统可用性影响：无

弱点

• CWE-532：将敏感信息插入日志文件

致谢

报告者：BrknRobotglyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxeeKoT198DILpQ8bybQDazTVIi1wzCctrJ4hkska6Tyig==更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享