CVE-2021-32638
CodeQL runner: Command-line options that make GitHub access tokens visible to other processes are now deprecated
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
1Exploited in Wild
-Decision
Descriptions
Github's CodeQL action is provided to run CodeQL-based code scanning on non-GitHub CI/CD systems and requires a GitHub access token to connect to a GitHub repository. The runner and its documentation previously suggested passing the GitHub token as a command-line parameter to the process instead of reading it from a file, standard input, or an environment variable. This approach made the token visible to other processes on the same machine, for example in the output of the `ps` command. If the CI system publicly exposes the output of `ps`, for example by logging the output, then the GitHub access token can be exposed beyond the scope intended. Users of the CodeQL runner on 3rd-party systems, who are passing a GitHub token via the `--github-auth` flag, are affected. This applies to both GitHub.com and GitHub Enterprise users. Users of the CodeQL Action on GitHub Actions are not affected. The `--github-auth` flag is now considered insecure and deprecated. The undocumented `--external-repository-token` flag has been removed. To securely provide a GitHub access token to the CodeQL runner, users should **do one of the following instead**: Use the `--github-auth-stdin` flag and pass the token on the command line via standard input OR set the `GITHUB_TOKEN` environment variable to contain the token, then call the command without passing in the token. The old flag remains present for backwards compatibility with existing workflows. If the user tries to specify an access token using the `--github-auth` flag, there is a deprecation warning printed to the terminal that directs the user to one of the above options. All CodeQL runner releases codeql-bundle-20210304 onwards contain the patches. We recommend updating to a recent version of the CodeQL runner, storing a token in your CI system's secret storage mechanism, and passing the token to the CodeQL runner using `--github-auth-stdin` or the `GITHUB_TOKEN` environment variable. If still using the old flag, ensure that process output, such as from `ps`, is not persisted in CI logs.
La acción CodeQL de Github es proporcionada para ejecutar el escaneo de código basado en CodeQL en sistemas CI/CD que no son de GitHub y requiere un token de acceso de GitHub para conectarse a un repositorio de GitHub. El corredor y su documentación sugirieron previamente pasar el token de GitHub como un parámetro command-line al proceso en lugar de leerlo desde un archivo, entrada estándar o una variable de entorno. Este enfoque hizo que el token fuera visible para otros procesos en la misma máquina, por ejemplo, en la salida del comando "ps". Si el sistema de CI expone públicamente la salida de "ps", por ejemplo, al registrar la salida, entonces el token de acceso de GitHub puede ser expuesto más allá del alcance previsto. Los usuarios del corredor CodeQL en sistemas de terceros, que pasan un token de GitHub por medio de la marca "--github-auth", están afectados. Esto se aplica tanto a los usuarios de GitHub.com como a los de GitHub Enterprise. Los usuarios de la Action CodeQL en GitHub Actions no están afectados. El flag "--github-auth" ahora es considerado no seguro y obsoleto. La marca no documentada "--external-repository-token" ha sido eliminada. Para proporcionar de forma segura un token de acceso de GitHub al corredor de CodeQL, los usuarios deben ** hacer una de las siguientes acciones en su lugar **: Usar la marca "--github-auth-stdin" y pasar el token la línea de comando por medio de la entrada estándar O establecer la variable de entorno "GITHUB_TOKEN" para contener el token, luego llame al comando sin pasar el token. La flag anterior permanece presente para compatibilidad con workflows existentes. Si el usuario intenta especificar un token de acceso usando el flag "--github-auth", se presenta una advertencia de desaprobación impresa en el terminal que dirige al usuario a una de las opciones anteriores. Todas las versiones de CodeQL runner codeql-bundle-20210304 en adelante contienen los parches. Recomendamos actualizar a una versión reciente del corredor de CodeQL, almacenar un token el mecanismo de almacenamiento secreto de su sistema de CI y pasar el token al corredor de CodeQL usando "--github-auth-stdin" o la variable de entorno "GITHUB_TOKEN". Si todavía usa el flag anterior, asegúrese de que la salida del proceso, como la de "ps", no se conserve en los registros de CI
CVSS Scores
SSVC
- Decision:-
Timeline
- 2021-05-12 CVE Reserved
- 2021-05-25 CVE Published
- 2023-08-17 EPSS Updated
- 2024-08-03 CVE Updated
- 2024-08-03 First Exploit
- ---------- Exploited in Wild
- ---------- KEV Due Date
CWE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor
- CWE-214: Invocation of Process Using Visible Sensitive Information
CAPEC
References (5)
| URL | Tag | Source |
|---|---|---|
| https://github.com/github/codeql-action/releases/tag/codeql-bundle-20210304 | Third Party Advisory | |
| https://www.netmeister.org/blog/passing-passwords.html | Third Party Advisory |
| URL | Date | SRC |
|---|---|---|
| https://github.com/github/codeql-action/security/advisories/GHSA-g36v-2xff-pv5m | 2024-08-03 |
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Github Search vendor "Github" | Codeql Action Search vendor "Github" for product "Codeql Action" | < 20210304 Search vendor "Github" for product "Codeql Action" and version " < 20210304" | - |
Affected
| ||||||