Vulnerabilidad en GitHub (CVE-2024-53858)

La CLI de gh es la herramienta de línea de comandos oficial de GitHub. Se ha identificado una vulnerabilidad de seguridad en la CLI de GitHub que podría filtrar tokens de autenticación al clonar repositorios que contienen submódulos `git` alojados fuera de GitHub.com y ghe.com. Esta vulnerabilidad se origina en varios comandos `gh` utilizados para clonar un repositorio con submódulos de un host que no es de GitHub, incluidos `gh repo clone`, `gh repo fork` y `gh pr checkout`. Estos comandos de la CLI de GitHub invocan git con instrucciones para recuperar tokens de autenticación utilizando la variable de configuración `credential.helper` para cualquier host encontrado. Antes de la versión `2.63.0`, los hosts que no sean GitHub.com y ghe.com se tratan como hosts de GitHub Enterprise Server y tienen tokens provenientes de las siguientes variables de entorno antes de recurrir a tokens específicos del host almacenados dentro de un almacenamiento seguro específico del sistema: 1. `GITHUB_ENTERPRISE_TOKEN`, 2. `GH_ENTERPRISE_TOKEN` y 3. `GITHUB_TOKEN` cuando se establece la variable de entorno `CODESPACES`. El resultado es que `git` envía tokens de autenticación al clonar submódulos. En la versión `2.63.0`, estos comandos de la CLI de GitHub limitarán los hosts para los que `gh` actúa como un asistente de credenciales para obtener tokens de autenticación. Además, `GITHUB_TOKEN` solo se usará para GitHub.com y ghe.com. Se recomienda a los usuarios que actualicen. Además, se recomienda a los usuarios revocar los tokens de autenticación utilizados con la CLI de GitHub y revisar su registro de seguridad personal y cualquier registro de auditoría relevante para las acciones asociadas con su cuenta o empresa.