GitHub Actions安全漏洞：GITHUB_TOKEN部分泄露风险分析

CVE-2025-31479：canonical/get-workflow-version-action可能泄露部分GITHUB_TOKEN

漏洞概述

canonical/get-workflow-version-action 在异常输出中可能泄露部分GITHUB_TOKEN。当该GitHub Actions步骤失败时，异常输出可能包含GITHUB_TOKEN。虽然完整令牌包含在异常输出中时GitHub会自动从Actions日志中屏蔽该密钥，但令牌可能被截断，导致部分GITHUB_TOKEN以明文形式显示在GitHub Actions日志中。

影响范围

受影响用户

• 使用github-token输入的用户受到直接影响
• 具有GitHub仓库读取权限的任何用户都可以查看GitHub Actions日志
• 对于公共仓库，任何人都可以查看GitHub Actions日志

漏洞利用窗口

虽然GITHUB_TOKEN在作业完成时自动撤销，但在GITHUB_TOKEN显示在日志中与作业完成之间存在攻击机会：

• 通常时间极短（少于1秒）
• 如果在get-workflow-version-action步骤中使用continue-on-error
• 如果在同一作业的后续步骤中使用状态检查功能

潜在风险

攻击后果

• 攻击者可能使用泄露的GITHUB_TOKEN向仓库推送内容
• 即使具有只读权限的GITHUB_TOKEN，在复杂攻击中也可能影响同一仓库中的其他GitHub Actions（如果这些操作使用Actions缓存）

特殊情况

如果用户在github-token输入中使用长期密钥（如个人访问令牌）而非GITHUB_TOKEN，应立即撤销该密钥。

修复方案

补丁版本

• 此问题已在v1.0.1中修复
• v1标签已更新包含修复

用户操作建议

• 使用github-token输入的用户应更新至v1.0.1
• 使用v1.0.0时部分泄露的任何密钥应已自动撤销
• 如果使用了长期密钥，应立即撤销

技术细节

CVSS评分

• 总体评分：8.2（高危）
• 攻击向量：网络
• 攻击复杂度：高
• 所需权限：低
• 用户交互：无
• 范围：已更改
• 完整性影响：高
• 可用性影响：高

相关弱点

• CWE-532：将敏感信息插入日志文件

参考链接

• GHSA-26wh-cc3r-w6pj
• CVE-2025-31479
• 相关供应链攻击案例
• 缓存攻击研究
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码