CVE-2024-35183

Versões do wolfictl anteriores à 0.16.10

Um problema de autenticação do Git permite que o token do GitHub de um usuário local seja enviado para servidores remotos que não sejam o github.com. A maioria das funcionalidades do wolfictl que dependem do Git se baseia em seu próprio pacote git, que contém a lógica centralizada para implementar interações com repositórios Git. Algumas dessas funcionalidades exigem autenticação para acessar repositórios privados. Uma função central, GetGitAuth, procura um token do GitHub na variável de ambiente GITHUB TOKEN e o retorna como um objeto de autenticação básica HTTP para ser usado com a biblioteca github.com/go-git/go-git/v5. A maioria dos chamadores de GetGitAuth usa o token para autenticar-se apenas no github.com; no entanto, em alguns casos, os chamadores estavam passando essa autenticação sem verificar se o repositório git remoto estava hospedado no github.com. Esse comportamento afeta qualquer pessoa que tenha executado os comandos wolfictl check update com uma configuração do Melange que incluísse uma etapa da diretiva git-checkout que fizesse referência a um repositório Git não hospedado no github.com, ou qualquer pessoa que tenha executado wolfictl update <url> com uma URL remota fora do github.com e tivesse a variável de ambiente GITHUB TOKEN definida como um token válido do GitHub.

Para resolver o problema, atualize para a versão 0.16.10 para receber um patch. Como solução temporária, considere remover a variável de ambiente GITHUB TOKEN ao executar wolfictl check update ou `wolfic