Vulnerabilidad en GitHub (CVE-2025-31479)

Canonical/Get-Workflow-Version-Action es una acción compuesta de GitHub para obtener commit SHA con el que se llamó el flujo de trabajo reutilizable de GitHub. Antes de 1.0.1, si el paso Get-Workflow-Version-Action falla, la salida de excepción puede incluir el GitHub_Token. Si el token completo se incluye en la salida de excepción, GitHub redactará automáticamente el secreto de los registros de acciones de GitHub. Sin embargo, el token puede ser truncado, lo que se pone en la parte del GitHub_Token que se mostrará en texto plano en los registros de acciones de GitHub. Cualquier persona con acceso de lectura al repositorio de GitHub puede ver registros de acciones de GitHub. Para los repositorios públicos, cualquiera puede ver los registros de acciones de GitHub. La oportunidad de explotar esta vulnerabilidad es limitada: el GitHub_Token se revoca automáticamente cuando se completa el trabajo. Sin embargo, hay una oportunidad para un ataque en el tiempo entre el GitHub_Token que se muestra en los registros y la finalización del trabajo. Los usuarios que usan la entrada GitHub-Token se ven afectados. Esta vulnerabilidad se fija en 1.0.1.