关键漏洞信息 漏洞概述 标题: Project API Token Exposes Repository Credentials 严重性: Critical (CVSS v3.1: 10.0/10) CVE ID: CVE-2025-55190 影响版本与修复版本 受影响版本: >= 2.13.0 已修复版本: - v3.1.2 - v3.0.14 - v2.14.16 - v2.13.9 漏洞详情 预期行为: API tokens 应该需要显式权限才能访问敏感的凭据信息。标准项目权限不应授予对存储库秘密的访问。 实际行为: 具有基本项目权限的 API tokens 可以通过详细的项目 API 端点检索与项目关联的所有存储库凭据。 复现步骤 1. 创建具有以下项目级权限的 API token: 2. 调用项目详细信息 API: 3. 观察响应包含敏感的存储库凭据: 补丁 已发布补丁版本,确保升级到上述已修复版本之一。 致谢 报告者: @ntammineni5 修复开发者: @alexmt 协调员: @crenshaw-dev, @svghadi