发布日期：2025-05-30
更新日期：2025-08-04

受影响系统：

go-gh go-gh < 2.12.1

描述：

---

CVE(CAN) ID: CVE-2025-48938

go-gh是Go模块的集合，用于从命令行与gh和GitHub API交互。
go-gh 2.12.1之前版本存在输入验证错误漏洞，该漏洞源于GitHub提供的用于浏览的本地文件路径的HTTP URLs，攻击者可利用该漏洞控制GitHub Enterprise Server在用户机器上执行任意命令。

<**>

建议：

---

厂商补丁：

go-gh
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/cli/go-gh/blob/61bf393cf4aeea6d00a6251390f5f67f5b67e727/pkg/browser/browser.go

浏览次数：29
严重程度：0（网友投票）