CVE-2024-53858丨递归存储库克隆可能会将身份验证令牌泄露给 gh cli 中的非 GitHub 子模块主机

GitHub的官方命令行工具gh cli存在一个安全漏洞，该漏洞可能导致身份验证令牌泄漏。当克隆托管在GitHub以外的git子模块时，这个漏洞可能会被触发。这个漏洞源于几个用于从非GitHub主机克隆包含子模块的存储库的gh命令，包括`gh repo clone`、`gh repo fork`和`gh pr checkout`。这些GitHub CLI命令通过git指令使用`credential.helper`配置变量来检索身份验证令牌，用于任何遇到的主机。在版本`2.63.0`之前，除GitHub.com和ghe.com之外的主机被视为GitHub企业服务器主机，并从以下环境变量中获取令牌，然后再回退到针对特定主机的存储在特定系统安全存储中的令牌：1.`GITHUB_ENTERPRISE_TOKEN`；2.`GH_ENTERPRISE_TOKEN`；当设置`CODESPACES`环境变量时，使用`GITHUB_TOKEN`。结果是git在克隆子模块时发送身份验证令牌。在版本`2.63.0`中，这些GitHub CLI命令将限制哪些主机可以使用gh作为凭据助手来检索身份验证令牌。此外，只有GitHub.com和ghe.com可以使用`GITHUB_TOKEN`。建议用户进行升级。此外，建议用户撤销与GitHub CLI一起使用的身份验证令牌，并检查其个人安全日志以及与他们的帐户或企业相关的任何相关审计日志。