Setup PHP: GitHub tokens configured by setup-php may be exposed through pinned affected Composer versions — GHSA-5WXR-W449-57CM
GitHub · GitHub · GHSA-5WXR-W449-57CM
ID
GHSA-5WXR-W449-57CM
GHSA-5WXR-W449-57CM
Datum
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
medium
medium
CVSS
5.9
5.9
Zusammenfassung
### Impact This affects only workflows that pin an exact affected Composer semver version through setup-php, for example `tools: composer:2.9.7`. Workflows using the default Composer version, `composer:v2`, or no pinned Composer version are not affected through setup-php, because those Composer URLs have been updated to patched Composer releases for all setup-php versions. setup-php does not directly print the…
Produkt
actions: shivammathur/setup-php
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.