CRITICAL🇬🇧 English

CVE-2025-53624

Ujawnienie GitHub Personal Access Token w artefaktach produkcyjnych Docusaurus

CVSS 10.0v3.1pub. 2025-07-09upd. 2026-04-15

Plugin docusaurus-plugin-content-gists w wersjach przed 4.0.0 nieprawidłowo dołącza GitHub Personal Access Token do klienckich pakietów JavaScript, czyniąc go dostępnym dla każdego, kto może przeglądać kod źródłowy strony. Podatność otrzymała maksymalny wynik CVSS 10.0, ponieważ token może zostać wykorzystany przez nieuwierzytelnionego atakującego zdalnie bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

The Docusaurus gists plugin adds a page to your Docusaurus instance, displaying all public gists of a GitHub user. docusaurus-plugin-content-gists versions prior to 4.0.0 are vulnerable to exposing GitHub Personal Access Tokens in production build artifacts when passed through plugin configuration options. The token, intended for build-time API access only, is inadvertently included in client-side JavaScript bundles, making it accessible to anyone who can view the website's source code. This vulnerability is fixed in 4.0.0.

🤖 Analiza AI
Jak działa

Plugin jest przeznaczony do pobierania publicznych gistów użytkownika GitHub poprzez API w trakcie budowania strony (build-time). Token przekazywany w konfiguracji pluginu, który powinien być używany wyłącznie na etapie budowania, jest przez błąd w implementacji włączany do klienckich pakietów JavaScript generowanych w procesie produkcyjnego buildu. W efekcie token trafia bezpośrednio do przeglądarki każdego odwiedzającego stronę i jest dostępny w źródle strony lub plikach JavaScript.

Skutki

Atakujący, który odwiedzi lub przeskanuje podatną stronę, może wyodrębnić GitHub Personal Access Token i użyć go do nieautoryzowanego dostępu do zasobów GitHub powiązanych z tym tokenem, potencjalnie uzyskując dostęp do prywatnych repozytoriów, danych i możliwość wykonywania operacji w imieniu właściciela tokenu.

Mitygacja

Należy zaktualizować docusaurus-plugin-content-gists do wersji 4.0.0 lub nowszej, która eliminuje podatność. Dodatkowo należy niezwłocznie unieważnić (revoke) każdy GitHub Personal Access Token, który mógł zostać przekazany w konfiguracji pluginu we wcześniejszych wersjach, oraz wygenerować nowe tokeny. Należy również przebudować i ponownie wdrożyć stronę po aktualizacji pluginu.

Kogo dotyczy

Wtyczka docusaurus-plugin-content-gists w wersjach wcześniejszych niż 4.0.0 — wszystkie strony zbudowane przy jej użyciu z przekazanym GitHub Personal Access Token w konfiguracji pluginu.

Uwagi

Podatność dotyczy wyłącznie środowisk, w których GitHub Personal Access Token był jawnie przekazywany w konfiguracji pluginu. Strony zbudowane bez tokenu nie są narażone. Poprawka dostępna w commicie 8d4230b82412edb215ddfa9e609d178510a5fe31.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje