CVE-2025-53624
KrytyczneStreszczenie
Wtyczka gists dla Docusaurus dodaje stronę do instancji Docusaurus, wyświetlającą publiczne gisty użytkownika GitHub. Wersje docusaurus-plugin-content-gists przed 4.0.0 są podatne na ujawnienie osobistych tokenów dostępu GitHub w artefaktach budowy produkcyjnej, gdy są przekazywane przez opcje konfiguracyjne wtyczki.
Ocena ryzyka
Ujawnienie osobistych tokenów dostępu może prowadzić do nieautoryzowanego dostępu do zasobów GitHub, co stwarza poważne ryzyko dla bezpieczeństwa aplikacji i danych organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki docusaurus-plugin-content-gists do wersji 4.0.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
The Docusaurus gists plugin adds a page to your Docusaurus instance, displaying all public gists of a GitHub user. docusaurus-plugin-content-gists versions prior to 4.0.0 are vulnerable to exposing GitHub Personal Access Tokens in production build artifacts when passed through plugin configuration options. The token, intended for build-time API access only, is inadvertently included in client-side JavaScript bundles, making it accessible to anyone who can view the website's source code. This vulnerability is fixed in 4.0.0.

