CVE-2026-45803 in cli
Zusammenfassung
von VulDB • 20.05.2026
`gh` ist das offizielle Befehlszeilentool von GitHub. Von Version 1.6.0 bis vor Version 2.92.0 wurde in GitHub CLI eine Sicherheitslücke identifiziert, die die Injektion von Terminal-Escape-Sequenzen ermöglichen könnte, wenn Benutzer GitHub Actions-Workflow-Protokolle mit `gh run view --log` oder `gh run view --log-failed` anzeigen. Die Schwachstelle resultiert aus der Art und Weise, wie GitHub CLI die rohen Actions-Protokollausgaben verarbeitet. Die Befehle `gh run view --log` und `gh run view --log-failed` streamen Workflow-Protokollzeilen an stdout oder den konfigurierten Pager, ohne Terminal-Steuersequenzen zu bereinigen. Ein Angreifer, der den Inhalt der GitHub Actions-Protokolle beeinflussen kann, beispielsweise über einen durch einen PR ausgelösten Workflow, kann Escape-Sequenzen einbetten, die in der Konsole des Benutzers wiedergegeben werden, wenn dieser den Lauf überprüft. Abhängig vom verwendeten Terminal-Emulator der Opfer könnten injizierte Sequenzen den Fenstertitel ändern, den Bildschirminhalt manipulieren oder in einigen Terminal-Emulatoren (wie screen) potenziell beliebige Befehle ausführen. Diese Schwachstelle wurde in Version 2.92.0 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.