[TLP:CLEAR] GitHub CLI opravuje vysoce závažnou zranitelnost
GitHub CLI verzí 2.62.0 opravuje vysoce závažnou zranitelnost [1].
Autentizovanému vzdálenému útočníkovi je při připojení uživatele ke škodlivému Codespace SSH serveru a použití příkazů 'gh codespace ssh' nebo 'gh codespace logs' umožněno vykonat vzdálené spuštění kódu [1].
Zranitelnost se nachází v produktu GitHub CLI ve verzích ve verzích <=2.61.0
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-52308 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 11. 2024.
Publikovala Michaela Jarošová dne 22. 11. 2024.
