CVE-2025-24362

Nome do Software Vulnerável e Versões Afetadas Versões do CodeQL Action anteriores à 3.28.3 Versões do CodeQL CLI anteriores à 2.20.3

Descrição Em determinadas circunstâncias, artefatos de depuração enviados pelo CodeQL Action após uma execução falha do fluxo de trabalho de varredura de código podem conter variáveis de ambiente da execução do fluxo de trabalho, incluindo segredos. Usuários com acesso de leitura ao repositório podem acessar este artefato, potencialmente expondo segredos. O problema é específico para execuções de fluxo de trabalho que atendem a condições como varredura das linguagens Java/Kotlin, execução em um repositório com código-fonte Kotlin e uso de versões específicas do CodeQL Action e CLI. As variáveis de ambiente expostas podem incluir um GITHUB TOKEN válido, que possui acesso ao repositório e permissões especificadas. O GITHUB TOKEN é válido até que o job seja concluído ou até que 24 horas tenham transcorrido.

Recomendações Para versões do CodeQL Action anteriores à 3.28.3, atualize para a versão 3.28.3 ou posterior para resolver o problema. Para versões do CodeQL CLI anteriores à 2.20.3, atualize para a versão 2.20.3 ou posterior para resolver o problema. Como medida temporária de contorno, considere desativar artefatos de depuração no CodeQL Action para minimizar o risco de exposição de variáveis de ambiente. Restrinja o acesso ao repositório para minimizar o risco de acesso não autorizado caso o GITHUB TOKEN seja exposto.