从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Recursive repository cloning can leak authentication tokens to non-GitHub submodule hosts - 发布者:andyfeller - 漏洞编号:GHSA-jwcm-9g39-pmcw - 发布时间:2天前 2. 受影响的版本: - 受影响的版本:<= 2.62.0 - 已修复的版本:2.63.0 3. 漏洞详情: - 漏洞来源:GitHub CLI中的gh命令在克隆包含git子模块的仓库时,可能会泄露认证令牌。 - 漏洞原因:这些gh命令使用credential.helper配置变量从任何遇到的主机中获取认证令牌。 - 修复措施:在2.63.0版本中,这些gh命令将限制用于获取认证令牌的主机,并且只使用GITUB_TOKEN来获取GitHub.com和ghe.com的认证令牌。 4. 影响: - 成功利用可能导致第三方使用泄露的认证令牌访问特权资源。 5. 缓解和补救措施: - 升级到2.63.0版本。 - 取消使用GitHub CLI的认证令牌。 - 审查个人的安全日志和与账户或企业相关的审计日志。 6. 严重性: - 严重性等级:中等 - CVSS评分:6.5/10 7. CWE编号: - CWE编号:无 8. 贡献者: - BagToad - andyfeller - williammartin - RyOtaK 这些信息可以帮助理解漏洞的性质、影响和如何进行补救。