CVE-2024-54132

Versões do GitHub CLI anteriores à 2.63.1

Foi identificada uma falha de segurança no GitHub CLI que poderia criar ou sobrescrever arquivos em diretórios indesejados quando os usuários baixam um artefato malicioso do fluxo de trabalho do GitHub Actions por meio do comando gh run download. Essa vulnerabilidade decorre de um artefato de fluxo de trabalho do GitHub Actions chamado .. quando baixado usando gh run download. O nome do artefato e o sinalizador --dir são usados para determinar o caminho de download do artefato. Quando o artefato é nomeado .., os arquivos resultantes dentro do artefato são extraídos exatamente um diretório acima do valor especificado pelo sinalizador --dir.

Atualize o gh para a versão 2.63.1 para resolver o problema. Como solução alternativa temporária, considere implementar uma validação adicional para garantir que os nomes dos arquivos do artefato não contenham padrões potencialmente perigosos, como .., a fim de evitar riscos de traversal de caminho. Evite usar o sinalizador --dir com nomes de artefatos não confiáveis até que o problema seja resolvido.