GHSA-h3q2-8whx-c29h

Опубликовано: 30 янв. 2024

Источник: github

Github: Прошло ревью

CVSS3: 5.5

Описание

goreleaser release --debug shows secrets

Summary

Hello 👋

goreleaser release --debug log shows secret values used in the in the custom publisher.

How to reproduce the issue:

Define a custom publisher as the one below. Make sure to provide a custom script to the cmd field and to provide a secret to env

#.goreleaser.yml publishers: - name: my-publisher # IDs of the artifacts we want to sign ids: - linux_archives - linux_package cmd: "./build/package/linux_notarize.sh" env: - VERSION={{ .Version }} - SECRET_1={{.Env.SECRET_1}} - SECRET_2={{.Env.SECRET_2}}

run goreleaser release --debug

You should see your secret value in the gorelease log. The log shows also the GITHUB_TOKEN

Example:

running cmd= .... SECRET_1=secret_value

Ссылки

Пакеты

Наименование

github.com/goreleaser/goreleaser

Затронутые версииВерсия исправления

= 1.23.0

1.24.0

EPSS

Процентиль: 20%

0.00063

Низкий

5.5 Medium

CVSS3

CVE ID

CVE-2024-23840

Дефекты

CWE-532

Связанные уязвимости

CVE-2024-23840

CVSS3: 5.5

redhat

около 2 лет назад

GoReleaser builds Go binaries for several platforms, creates a GitHub release and then pushes a Homebrew formula to a tap repository. `goreleaser release --debug` log shows secret values used in the in the custom publisher. This vulnerability is fixed in 1.24.0.

CVE-2024-23840

CVSS3: 5.5

nvd

около 2 лет назад

BDU:2024-01013

CVSS3: 5.5

fstec

около 2 лет назад

Уязвимость инструмента для сборки двоичных файлов Go GoReleaser, связанная с раскрытием информации через регистрационные файлы, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 20%

0.00063

Низкий

5.5 Medium

CVSS3

CVE ID

CVE-2024-23840

Дефекты

CWE-532