CVE-2024-53859

Nome do software vulnerável e versões afetadas:

versões do go-gh anteriores à 2.11.1

Descrição:

Foi identificada uma falha de segurança no go-gh que poderia vazar tokens de autenticação destinados a hosts do GitHub para hosts que não sejam do GitHub quando dentro de um codespace. O go-gh obtém tokens de autenticação de diferentes variáveis de ambiente, dependendo do host envolvido: GITHUB TOKEN, GH TOKEN para GitHub.com e ghe.com, e GITHUB ENTERPRISE TOKEN, GH ENTERPRISE TOKEN para o GitHub Enterprise Server. Antes da versão 2.11.1, auth.TokenForHost podia obter um token da variável de ambiente GITHUB TOKEN para um host diferente do GitHub.com ou ghe.com quando dentro de um codespace. Uma exploração bem-sucedida poderia enviar tokens de autenticação para um host indesejado.

Recomendações:

Atualize o go-gh para a versão 2.11.1.

Regenerar tokens de autenticação, incluindo tokens de acesso pessoal e tokens de aplicativos OAuth do GitHub CLI.

Revisar os registros de segurança pessoais e quaisquer registros de auditoria relevantes para ações associadas à conta ou à empresa.