暴露机密密钥或令牌 GitLab runner 认证令牌

描述

响应体中包含的内容被识别为匹配 GitLab Runner 认证令牌的模式。这些令牌允许用户注册或作为 runner 与选定项目进行身份验证。拥有此令牌的恶意行为者可以向流水线添加自定义 runner，如果该 runner 被使用，可能会危及仓库安全。 暴露此值可能允许攻击者访问此令牌授予的所有资源。

修复建议

有关处理密钥泄露安全事件的通用指导，请参阅 GitLab 文档中关于 凭据暴露到互联网 的内容。

要撤销 runner 认证令牌，需要移除并重新创建 runner：

• 登录您的 GitLab 账户并创建 runner 注册令牌的项目
• 在左侧菜单中，选择"设置"
• 在"设置"选项下，选择"CI/CD"
• 在"Runners"部分中，找到具有已识别令牌的 runner（如果不确定，可以检查 runner 的 config.toml）
• 选择"移除 runner"
• 当提示时，选择"移除"

有关更多信息，请参阅 GitLab 关于注册 runner 的文档。

详情

链接

• CWE