CVE-2026-48501

Nome do Software Vulnerável e Versões Afetadas GitHub CLI versões anteriores a 2.93.0

Description O GitHub CLI inclui incorretamente cabeçalhos de autorização em solicitações de API para espelhos de repositório TUF ao usar os comandos gh attestation, gh release verify e gh release verify-asset. A ferramenta utiliza um cliente HTTP compartilhado com uma camada de autenticação que anexa automaticamente tokens às solicitações de saída, mas carece de detecção precisa de host. Especificamente, a lógica de normalização de host colapsa qualquer subdomínio *.github.com para github.com, fazendo com que solicitações para tuf-repo.github.com (um site do GitHub Pages) sejam tratadas como solicitações para github.com e, portanto, incluam o token do usuário. Para hosts que não correspondem ao github.com ou a uma instância GHES conhecida, o resolvedor pode recorrer ao uso do GH ENTERPRISE TOKEN, caso esteja configurado. Consequentemente, os tokens são enviados para hosts externos, como tuf-repo-cdn.sigstore.dev e tmaproduction.blob.core.windows.net, durante operações normais.

Recommendations Atualizar para a versão 2.93.0. Revogar tokens de autenticação usados com o GitHub CLI, incluindo tokens de acesso pessoal e autorizações do aplicativo GitHub CLI OAuth. Revisar logs de segurança pessoais e logs de auditoria relevantes para ações associadas a contas pessoais ou empresariais.