CVE-2024-53859丨go-gh `auth.TokenForHost` 违反了代码空间内的 GitHub 主机安全边界

go-gh是一个用于与gh实用程序和GitHub API交互的Go模块。在go-gh中发现了一个安全漏洞，该漏洞可能导致为GitHub主机准备的认证令牌泄漏给非GitHub主机，尤其是在代码空间内。go-gh根据所涉及的主机从不同的环境变量中获取身份验证令牌：1.对于GitHub.com和ghe.com使用`GITHUB_TOKEN`和`GH_TOKEN`；2.对于GitHub企业服务器使用`GITHUB_ENTERPRISE_TOKEN`和`GH_ENTERPRISE_TOKEN`。在版本2.11.1之前，当在代码空间内时，`auth.TokenForHost`可能会从`GITHUB_TOKEN`环境变量中获取非GitHub.com或ghe.com主机的令牌。在版本2.11.1中，`auth.TokenForHost`仅会从`GITHUB_TOKEN`环境变量中获取针对GitHub.com或ghe.com主机的令牌。成功利用此漏洞可能会将身份验证令牌发送到非预期的主机。此问题已在版本2.11.1中得到解决，建议所有用户进行升级。此外，建议用户重新生成身份验证令牌，并检查其个人安全日志以及与他们的帐户或企业相关的任何相关审计日志。