CVE-2025-53624
CriticalSummary
Wtyczka gists dla Docusaurus dodaje stronę do instancji Docusaurus, wyświetlającą publiczne gisty użytkownika GitHub. Wersje docusaurus-plugin-content-gists przed 4.0.0 są podatne na ujawnienie osobistych tokenów dostępu GitHub w artefaktach budowy produkcyjnej, gdy są przekazywane przez opcje konfiguracyjne wtyczki.
Risk Assessment
Ujawnienie osobistych tokenów dostępu może prowadzić do nieautoryzowanego dostępu do zasobów GitHub, co stwarza poważne ryzyko dla bezpieczeństwa aplikacji i danych organizacji.
Recommendation
Zaleca się aktualizację wtyczki docusaurus-plugin-content-gists do wersji 4.0.0 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
The Docusaurus gists plugin adds a page to your Docusaurus instance, displaying all public gists of a GitHub user. docusaurus-plugin-content-gists versions prior to 4.0.0 are vulnerable to exposing GitHub Personal Access Tokens in production build artifacts when passed through plugin configuration options. The token, intended for build-time API access only, is inadvertently included in client-side JavaScript bundles, making it accessible to anyone who can view the website's source code. This vulnerability is fixed in 4.0.0.

