`gh` - это официальное средство командной строки GitHub. Начиная с версии 2.49.0 и до версии 2.67.0, при определённых условиях ошибка в инс…
`gh` - это официальное средство командной строки GitHub. Начиная с версии 2.49.0 и до версии 2.67.0, при определённых условиях ошибка в инструменте проверки аттестации артефактов GitHub `gh attestation verify` вызывает возврат нулевого кода завершения, когда аттестации отсутствуют. Это поведение некорректно: когда аттестации отсутствуют, `gh attestation verify` должен возвращать ненулевой код статуса завершения, тем самым сигнализируя о неудаче проверки. Злоумышленник может использовать этот недостаток, чтобы, например, развернуть вредоносные артефакты в любой системе, использующей коды завершения `gh attestation verify` для ограничения развертывания. Пользователям рекомендовано обновить `gh` до исправленной версии `v2.67.0` как можно скорее.
Продукт обнаруживает конкретную ошибку, однако не предпринимает никаких действий по её обработке.
https://cwe.mitre.org/data/definitions/390.html →Открыть в коллекции CWE →