关键信息 漏洞概述 漏洞名称: GitHub Personal Access Token Exposure in docusaurus-plugin-content-gists CVE ID: CVE-2025-53624 严重性: Critical (10.0/10) 影响版本 受影响版本: < 4.0.0 修复版本: 4.0.0 及以上 描述 docusaurus-plugin-content-gists 版本低于 4.0.0 存在暴露 GitHub Personal Access Tokens 的风险。当通过插件配置选项传递时,该令牌会包含在生产构建的客户端 JavaScript 包中,使任何查看网站源代码的人都可以访问。 影响 使用受影响版本并采用推荐配置模式时: GitHub Personal Access Token 会被包含在 webpack bundle 中,并在生产构建中暴露于 。 这允许恶意行为者: 从网站的 JavaScript 文件中提取 GitHub Personal Access Token 使用被盗的令牌访问令牌所有者的 GitHub 账户及其授予的权限 潜在访问私有 gist、仓库或执行其他操作,具体取决于令牌的范围 缓解措施 1. 立即撤销对使用的 GitHub PAT 的访问权限:https://github.com/settings/tokens 迁移步骤 1. 更新到版本 4.0.0 或更高: 2. 从插件配置中移除 3. 确保 在构建环境中设置