Composer, el gestor de dependencias de PHP, presenta una vulnerabilidad de seguridad que filtra tokens de GitHub Actions en los logs de CI/CD. El problema ocurre debido a que GitHub introdujo un nuevo formato de tokens GITHUB_TOKEN que incluye guión (-), pero Composer los valida con una expresión regular que no permite este carácter. Cuando la validación falla, el token se interpolsa en el mensaje de error y se imprime en stderr, quedando registrado en los logs. Acciones populares como shivammathur/setup-php registran automáticamente el token en la configuración global, lo que provoca la filtración sin configuración adicional del usuario. Los tokens de GitHub Actions expiran tras finalizar el job o como máximo en 6 horas (24 horas en runners autogestionados), lo que limita el impacto. El nuevo formato de tokens seestá implementando gradualmente. La vulnerabilidad afecta también a tokens futuros que fallen validación por cualquier razón.
Bug en Composer filtra tokens de GitHub Actions en los logs de CI/CD
