PT-2025-7058 · Github · Gh
Bagtoad
·
Publicado
2025-02-14
·
Atualizado
2025-03-13
·
CVE-2025-25204
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas:
Versões do gh de 2.49.0 a 2.66.x
Descrição:
Uma falha na ferramenta CLI de Attestation de Artefatos do GitHub,
gh attestation verify, faz com que ela retorne um código de saída zero quando não há atestados presentes, sob certas condições. Este comportamento está incorreto, pois deveria retornar um código de saída diferente de zero para sinalizar falha na verificação. Um atacante pode explorar esta falha para implantar artefatos maliciosos em qualquer sistema que utilize os códigos de saída do gh attestation verify para controlar as implantações.Recomendações:
Para as versões do gh de 2.49.0 a 2.66.x, atualize para a versão v2.67.0 o mais rápido possível.
Como solução temporária, considere verificar a saída do
gh attestation verify além do código de saída para garantir que o atestado foi verificado com sucesso.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gh