CVE-2025-31479:canonical/get-workflow-version-action可能泄露部分GITHUB_TOKEN
漏洞概述
canonical/get-workflow-version-action 在异常输出中可能泄露部分GITHUB_TOKEN。当该GitHub Actions步骤失败时,异常输出可能包含GITHUB_TOKEN。虽然完整令牌包含在异常输出中时GitHub会自动从Actions日志中屏蔽该密钥,但令牌可能被截断,导致部分GITHUB_TOKEN以明文形式显示在GitHub Actions日志中。
影响范围
受影响用户
- 使用github-token输入的用户受到直接影响
- 具有GitHub仓库读取权限的任何用户都可以查看GitHub Actions日志
- 对于公共仓库,任何人都可以查看GitHub Actions日志
漏洞利用窗口
虽然GITHUB_TOKEN在作业完成时自动撤销,但在GITHUB_TOKEN显示在日志中与作业完成之间存在攻击机会:
- 通常时间极短(少于1秒)
- 如果在get-workflow-version-action步骤中使用continue-on-error
- 如果在同一作业的后续步骤中使用状态检查功能
潜在风险
攻击后果
- 攻击者可能使用泄露的GITHUB_TOKEN向仓库推送内容
- 即使具有只读权限的GITHUB_TOKEN,在复杂攻击中也可能影响同一仓库中的其他GitHub Actions(如果这些操作使用Actions缓存)
特殊情况
如果用户在github-token输入中使用长期密钥(如个人访问令牌)而非GITHUB_TOKEN,应立即撤销该密钥。
修复方案
补丁版本
- 此问题已在v1.0.1中修复
- v1标签已更新包含修复
用户操作建议
- 使用github-token输入的用户应更新至v1.0.1
- 使用v1.0.0时部分泄露的任何密钥应已自动撤销
- 如果使用了长期密钥,应立即撤销
技术细节
CVSS评分
- 总体评分:8.2(高危)
- 攻击向量:网络
- 攻击复杂度:高
- 所需权限:低
- 用户交互:无
- 范围:已更改
- 完整性影响:高
- 可用性影响:高
相关弱点
- CWE-532:将敏感信息插入日志文件
参考链接
- GHSA-26wh-cc3r-w6pj
- CVE-2025-31479
- 相关供应链攻击案例
- 缓存攻击研究
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
