mirror of
https://github.com/dreamhunter2333/cloudflare_temp_email.git
synced 2026-04-25 22:05:51 +03:00
[GH-ISSUE #732] [SECURITY] GitHub Actions 泄露用户密码 ⚠⚠⚠ Critical #277
Labels
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference
starred/cloudflare_temp_email#277
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Originally created by @WilliamPeterMatthew on GitHub (Sep 25, 2025).
Original GitHub issue: https://github.com/dreamhunter2333/cloudflare_temp_email/issues/732
复现步骤
通过 Actions 部署。已发现存在信息泄露的用户均使用了含有前端的后端部署,但经测试不添加前端也会输出信息。
由于 Fork 网络不能设置 Repo 为 Private (除非离开 Fork 网络),近期所有用户执行 Actions 时都会输出该信息。
建议所有用户删除近期的 Workflow Run 或者清除 Workflow 的 logs 。
预期行为
以下是从 Fork 网络中发现的近期部署中出现信息泄露情况的例子。
不应输出用户密码。
部署方式
GitHub Actions
浏览器环境
任意。
@WilliamPeterMatthew commented on GitHub (Sep 25, 2025):
该输出可能与近期 Cloudflare 对 Workers 的更新有关,预期下次 Fork 网络全体同步时会全部泄露。与本人近期添加了DEBUG_MODE为false有关
@dreamhunter2333 commented on GitHub (Sep 26, 2025):
感谢反馈,是否配置了DEBUG_MODE 呢,可以删除这个配置
https://temp-mail-docs.awsl.uk/zh/guide/actions/github-action.html
@WilliamPeterMatthew commented on GitHub (Sep 26, 2025):
意思是只要存在环境变量DEBUG_MODE即使DEBUG_MODE设置为false也会输出debug信息吗?
对于关键参数建议调整为单独的环境变量保证开启调试时也不会输出密码等信息
@WilliamPeterMatthew commented on GitHub (Sep 26, 2025):
确认:完全删除DEBUG_MODE后不会输出敏感信息。
@dreamhunter2333 commented on GitHub (Sep 26, 2025):
我检查下,目前是设置了 DEBUG_MODE 就会输出,我修复下
@dreamhunter2333 commented on GitHub (Sep 26, 2025):
已修复