V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd,anchore_overrides

Cli

Уязвимости
2
Эксплуатируемые
0
Критический
0
Высокий
1

Топ продуктов

Go-gh2

Топ уязвимостей

CVE-2024-53859go-gh — это модуль Go для взаимодействия с утилитой `gh` и API GitHub из командной строки. Была выявлена уязвимость безопасности в `go-gh`, которая может привести к утечке токенов аутентификации, предназначенных для хостов GitHub, на хосты, не являющиеся хостами GitHub, в пределах codespace. `go-gh` получает токены аутентификации из разных переменных среды в зависимости от участвующего хоста: 1. `GITHUB_TOKEN`, `GH_TOKEN` для GitHub.com и ghe.com и 2. `GITHUB_ENTERPRISE_TOKEN`, `GH_ENTERPRISE_TOKEN` для GitHub Enterprise Server. До версии `2.11.1` `auth.TokenForHost` мог получать токен из переменной среды `GITHUB_TOKEN` для хоста, отличного от GitHub.com или ghe.com, в пределах codespace. В версии `2.11.1` `auth.TokenForHost` будет получать токен из переменной среды `GITHUB_TOKEN` только для хостов GitHub.com или ghe.com. Успешная эксплуатация может привести к отправке токена аутентификации на непреднамеренный хост. Эта проблема была решена в версии 2.11.1, и всем пользователям рекомендуется выполнить обновление. Пользователям также рекомендуется повторно сгенерировать токены аутентификации и просмотреть свой личный журнал безопасности и любые соответствующие журналы аудита для действий, связанных с их учетной записью или предприятием.
CVE-2025-48938go-gh - это набор модулей Go, упрощающих создание расширений CLI для GitHub. В версиях до 2.12.1 обнаружена уязвимость безопасности, позволяющая контролируемому атакующим GitHub Enterprise Server выполнять произвольные команды на машине пользователя путем замены HTTP URL на локальные пути к файлам для просмотра. В версии 2.12.1 метод `Browser.Browse()` был улучшен, чтобы разрешать и запрещать различные сценарии, избегая открытия или выполнения файлов в файловой системе без значительного влияния на HTTP URL [1]. Рекомендуется обновиться до версии 2.12.1. Источники: - [1] https://github.com/cli/go-gh/security/advisories/GHSA-g9f5-x53j-h563 - [2] https://github.com/cli/go-gh/commit/a08820a13f257d6c5b4cb86d37db559ec6d14577 - [3] https://github.com/cli/go-gh/blob/61bf393cf4aeea6d00a6251390f5f67f5b67e727/pkg/browser/browser.go
Открыть в каталоге с фильтром по вендору →