CVE-2026-45803 in cli信息

摘要

由 VulDB • 2026-05-15

`gh` 是 GitHub 的官方命令行工具。在 1.6.0 至 2.92.0（不含）版本之间，GitHub CLI 被发现存在一个安全漏洞，当用户使用 `gh run view --log` 或 `gh run view --log-failed` 查看 GitHub Actions 工作流日志时，可能导致终端转义序列注入。该漏洞源于 GitHub CLI 处理原始 Actions 日志输出的方式。`gh run view --log` 和 `gh run view --log-failed` 命令会将工作流日志行流式传输到 stdout 或配置的分页器，而未对终端控制序列进行清理。攻击者若能影响 GitHub Actions 日志内容（例如通过触发工作流的 PR），即可嵌入转义序列，当用户检查运行记录时，这些序列将在用户的终端中重放。根据受害者使用的终端模拟器不同，注入的序列可能会更改窗口标题、操纵屏幕内容，或在某些终端模拟器（如 screen）中潜在地执行任意命令。此漏洞已在 2.92.0 版本中修复。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-13

披露

2026-05-15

管理

已接受

条目

VDB-364191

CPE

准备好

CWE

CWE-150 (已确认)

CVSS

3.5 (CNA)

EPSS

0.00034

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45803
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45803
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45803/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!