CVE-2026-45803 in cli
Resumen
por VulDB • 2026-05-20
`gh` es la herramienta oficial de línea de comandos de GitHub. Desde la versión 1.6.0 hasta la anterior a la 2.92.0, se ha identificado una vulnerabilidad de seguridad en GitHub CLI que podría permitir la inyección de secuencias de escape de terminal cuando los usuarios visualizan los registros de flujos de trabajo de GitHub Actions mediante `gh run view --log` o `gh run view --log-failed`. La vulnerabilidad radica en la forma en que GitHub CLI maneja la salida cruda de los registros de Actions. Los comandos `gh run view --log` y `gh run view --log-failed` transmiten las líneas de registro del flujo de trabajo a stdout o al pager configurado sin sanitizar las secuencias de control de terminal. Un atacante que pueda influir en el contenido de los registros de GitHub Actions, por ejemplo, a través de un flujo de trabajo activado por una PR, puede incrustar secuencias de escape que se reproducirán en la terminal del usuario cuando inspeccione la ejecución. Dependiendo del emulador de terminal de la víctima, las secuencias inyectadas podrían cambiar el título de la ventana, manipular el contenido en pantalla o, en algunos emuladores de terminal (como screen), potencialmente ejecutar comandos arbitrarios. Esta vulnerabilidad se corrige en la versión 2.92.0.
Once again VulDB remains the best source for vulnerability data.