CVE-2026-48501 in cli
요약
\~에 의해 VulDB • 2026. 05. 30.
GitHub CLI(gh)는 GitHub의 공식 명령줄 도구입니다. 버전 2.93.0 이전의 GitHub CLI는 gh attestation, gh release verify, gh release verify-asset 명령을 통해 TUF 저장소 미러에 대한 API 요청 시 인증 헤더를 잘못 포함합니다. CLI는 인증 레이어가 있는 공유 HTTP 클라이언트를 사용하며, 이 레이어는 outgoing 요청에 자동으로 토큰을 첨부합니다. 그러나 이 레이어에는 정확한 호스트 감지 기능이 부족하여 대상 호스트를 잘못 식별하고, 해당 호스트에 절대 전달되어서는 안 되는 토큰을 제공하게 됩니다. 구체적으로 호스트 정규화 로직은 모든 *.github.com 서브도메인을 github.com으로 축소하므로, tuf-repo.github.com(GitHub API 엔드포인트가 아닌 GitHub Pages 사이트)에 대한 요청이 github.com에 대한 요청으로 간주되어 사용자의 github.com 토큰을 받게 됩니다. github.com이나 알려진 GHES 인스턴스와 일치하지 않는 호스트의 경우, 리졸버는 GH_ENTERPRISE_TOKEN이 설정되어 있으면 해당 토큰으로 폴백됩니다. gh attestation, gh release verify 및 gh release verify-asset 명령은 정상 작동의 일환으로 여러 외부 호스트에서 데이터를 가져옵니다(예: tuf-repo.github.com 및 tuf-repo-cdn.sigstore.dev에서 TUF 메타데이터, Azure Blob Storage에서 아티팩트 번들). 이러한 요청이 동일한 인증된 HTTP 클라이언트를 통해 전송되므로 토큰이 모든 호스트로 전송됩니다. 이 취약점은 2.93.0에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.