[GH-ISSUE #732] [SECURITY] GitHub Actions 泄露用户密码 ⚠⚠⚠ Critical #277

New issue

Closed

opened 2026-02-26 20:36:27 +03:00 by kerem · 6 comments

kerem commented 2026-02-26 20:36:27 +03:00

Owner

Copy link

Originally created by @WilliamPeterMatthew on GitHub (Sep 25, 2025).
Original GitHub issue: https://github.com/dreamhunter2333/cloudflare_temp_email/issues/732

复现步骤

通过 Actions 部署。已发现存在信息泄露的用户均使用了含有前端的后端部署，但经测试不添加前端也会输出信息。

由于 Fork 网络不能设置 Repo 为 Private （除非离开 Fork 网络），近期所有用户执行 Actions 时都会输出该信息。

建议所有用户删除近期的 Workflow Run 或者清除 Workflow 的 logs 。

预期行为

以下是从 Fork 网络中发现的近期部署中出现信息泄露情况的例子。

不应输出用户密码。

部署方式

GitHub Actions

浏览器环境

任意。

Originally created by @WilliamPeterMatthew on GitHub (Sep 25, 2025). Original GitHub issue: https://github.com/dreamhunter2333/cloudflare_temp_email/issues/732 ## 复现步骤 通过 Actions 部署。已发现存在信息泄露的用户均使用了含有前端的后端部署，但经测试不添加前端也会输出信息。 由于 Fork 网络不能设置 Repo 为 Private （除非离开 Fork 网络），近期所有用户执行 Actions 时都会输出该信息。 <img width="867" height="536" alt="Image" src="https://github.com/user-attachments/assets/fca2fe93-536b-446d-86b4-a4062a38225e" /> 建议所有用户删除近期的 Workflow Run 或者清除 Workflow 的 logs 。 <img width="252" height="138" alt="Image" src="https://github.com/user-attachments/assets/3c392454-a56e-4ff2-8d99-03bb1c9eb890" /> <img width="221" height="159" alt="Image" src="https://github.com/user-attachments/assets/21e22da3-aa62-4165-ad8b-6209458ef3c8" /> ## 预期行为 以下是从 Fork 网络中发现的近期部署中出现信息泄露情况的例子。 <img width="789" height="529" alt="Image" src="https://github.com/user-attachments/assets/e97d09de-9b79-4fce-b56e-06dc90e4d550" /> <img width="1326" height="614" alt="Image" src="https://github.com/user-attachments/assets/08b905ae-8c4d-45c6-8404-7ffda1614065" /> 不应输出用户密码。 ## 部署方式 GitHub Actions ## 浏览器环境 任意。

kerem 2026-02-26 20:36:27 +03:00

• closed this issue
• added the
  bug
  label

kerem commented 2026-02-26 20:36:27 +03:00

Author

Owner

Copy link

@WilliamPeterMatthew commented on GitHub (Sep 25, 2025):

该输出可能与近期 Cloudflare 对 Workers 的更新有关，预期下次 Fork 网络全体同步时会全部泄露。
与本人近期添加了DEBUG_MODE为false有关

<!-- gh-comment-id:3335130810 --> @WilliamPeterMatthew commented on GitHub (Sep 25, 2025): ~该输出可能与近期 Cloudflare 对 Workers 的更新有关，预期下次 Fork 网络全体同步时会全部泄露。~ 与本人近期添加了DEBUG_MODE为false有关

kerem commented 2026-02-26 20:36:27 +03:00

Author

Owner

Copy link

@dreamhunter2333 commented on GitHub (Sep 26, 2025):

感谢反馈，是否配置了DEBUG_MODE 呢，可以删除这个配置
https://temp-mail-docs.awsl.uk/zh/guide/actions/github-action.html

<!-- gh-comment-id:3336896842 --> @dreamhunter2333 commented on GitHub (Sep 26, 2025): 感谢反馈，是否配置了DEBUG_MODE 呢，可以删除这个配置 https://temp-mail-docs.awsl.uk/zh/guide/actions/github-action.html

kerem commented 2026-02-26 20:36:27 +03:00

Author

Owner

Copy link

@WilliamPeterMatthew commented on GitHub (Sep 26, 2025):

意思是只要存在环境变量DEBUG_MODE即使DEBUG_MODE设置为false也会输出debug信息吗？
对于关键参数建议调整为单独的环境变量保证开启调试时也不会输出密码等信息

<!-- gh-comment-id:3336913650 --> @WilliamPeterMatthew commented on GitHub (Sep 26, 2025): 意思是只要存在环境变量DEBUG_MODE即使DEBUG_MODE设置为false也会输出debug信息吗？ 对于关键参数建议调整为单独的环境变量保证开启调试时也不会输出密码等信息

kerem commented 2026-02-26 20:36:27 +03:00

Author

Owner

Copy link

@WilliamPeterMatthew commented on GitHub (Sep 26, 2025):

确认：完全删除DEBUG_MODE后不会输出敏感信息。

<!-- gh-comment-id:3336922551 --> @WilliamPeterMatthew commented on GitHub (Sep 26, 2025): 确认：完全删除DEBUG_MODE后不会输出敏感信息。

kerem commented 2026-02-26 20:36:27 +03:00

Author

Owner

Copy link

@dreamhunter2333 commented on GitHub (Sep 26, 2025):

意思是只要存在环境变量DEBUG_MODE即使DEBUG_MODE设置为false也会输出debug信息吗？ 对于关键参数建议调整为单独的环境变量保证开启调试时也不会输出密码等信息

我检查下，目前是设置了 DEBUG_MODE 就会输出，我修复下

<!-- gh-comment-id:3338177671 --> @dreamhunter2333 commented on GitHub (Sep 26, 2025): > 意思是只要存在环境变量DEBUG_MODE即使DEBUG_MODE设置为false也会输出debug信息吗？ 对于关键参数建议调整为单独的环境变量保证开启调试时也不会输出密码等信息 我检查下，目前是设置了 DEBUG_MODE 就会输出，我修复下

kerem commented 2026-02-26 20:36:27 +03:00

Author

Owner

Copy link

@dreamhunter2333 commented on GitHub (Sep 26, 2025):

已修复

<!-- gh-comment-id:3338189696 --> @dreamhunter2333 commented on GitHub (Sep 26, 2025): 已修复

kerem referenced this issue 2026-02-26 21:31:34 +03:00

[PR #291] [MERGED] feat: add s3 attachment #512

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

feat/email-usage-skill

feature/backup

v1.7.0

v1.6.0

v1.5.0

v1.4.0

v1.3.0

v1.2.1

v1.2.0

v1.1.0

v1.0.7

v1.0.6

v1.0.5

v1.0.4

v1.0.2

v1.0.1

v1.0.0

v0.10.0

v0.9.1

v0.9.0

v0.8.7

v0.8.6

v0.8.5

v0.8.4

v0.8.3

v0.8.2

v0.8.1

v0.8.0

v0.7.6

v0.7.5

v0.7.4

v0.7.3

v0.7.2

v0.7.1

v0.7.0

v0.6.1

v0.6.0

v0.5.4

v0.5.3

v0.5.1

v0.5.0

v0.4.6

v0.4.5

v0.4.4

v0.4.3

v0.4.2

v0.4.1

v0.4.0

v0.3.3

v0.3.2

v0.3.1

v0.3.0

0.2.10

v0.2.9

v0.2.8

v0.2.7

v0.2.6

v0.2.1

v0.2.5

v0.2.0

v0.0.0

Labels

Clear labels   

bug

  

documentation

  

enhancement

  

enhancement

  

good first issue

  

pull-request

Mirrored from GitHub Pull Request

  

wating verify

No labels

bug

documentation

enhancement

enhancement

good first issue

pull-request

wating verify

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

starred/cloudflare_temp_email#277

No description provided.