Github · Github Cli · CVE-2026-48501
**Nome do Software Vulnerável e Versões Afetadas**
GitHub CLI versões anteriores a 2.93.0
**Description**
O GitHub CLI inclui incorretamente cabeçalhos de autorização em solicitações de API para espelhos de repositório TUF ao usar os comandos `gh attestation`, `gh release verify` e `gh release verify-asset`. A ferramenta utiliza um cliente HTTP compartilhado com uma camada de autenticação que anexa automaticamente tokens às solicitações de saída, mas carece de detecção precisa de host. Especificamente, a lógica de normalização de host colapsa qualquer subdomínio `*.github.com` para `github.com`, fazendo com que solicitações para `tuf-repo.github.com` (um site do GitHub Pages) sejam tratadas como solicitações para `github.com` e, portanto, incluam o token do usuário. Para hosts que não correspondem ao `github.com` ou a uma instância GHES conhecida, o resolvedor pode recorrer ao uso do `GH ENTERPRISE TOKEN`, caso esteja configurado. Consequentemente, os tokens são enviados para hosts externos, como `tuf-repo-cdn.sigstore.dev` e `tmaproduction.blob.core.windows.net`, durante operações normais.
**Recommendations**
Atualizar para a versão 2.93.0.
Revogar tokens de autenticação usados com o GitHub CLI, incluindo tokens de acesso pessoal e autorizações do aplicativo GitHub CLI OAuth.
Revisar logs de segurança pessoais e logs de auditoria relevantes para ações associadas a contas pessoais ou empresariais.