製品・ソフトウェアに関する情報

JVN脆弱性詳細

GitHubのcliにおけるエスケープ、メタ、またはコントロールシーケンスの不適切な無効化に関する脆弱性

Title	GitHubのcliにおけるエスケープ、メタ、またはコントロールシーケンスの不適切な無効化に関する脆弱性
Summary	`gh`はGitHubの公式コマンドラインツールです。バージョン1.6.0から2.92.0未満にかけて、GitHub CLIにセキュリティ上の脆弱性が確認されており、ユーザーが`gh run view --log`または`gh run view --log-failed`を使ってGitHub Actionsのワークフローログを表示する際にターミナルのエスケープシーケンス注入が発生する可能性があります。この脆弱性はGitHub CLIがActionsの生ログ出力を処理する方法に起因しています。`gh run view --log`および`gh run view --log-failed`コマンドは、ワークフローログの行を標準出力または設定されたペイジャーに対して端末制御シーケンスを無効化せずにストリーミングします。攻撃者がPRをトリガーとするワークフローなどを通じてGitHub Actionsのログ内容に影響を与えることができれば、エスケープシーケンスを埋め込み、ユーザーがその実行内容を確認する際にターミナルで再生されます。被害者のターミナルエミュレーターによっては、注入されたシーケンスがウィンドウタイトルを変更したり、画面の内容を操作したり、ある種のターミナルエミュレーター（例えばscreenなど）では任意のコマンドを実行させる可能性があります。この脆弱性はバージョン2.92.0で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 15, 2026, midnight
Registration Date	May 25, 2026, 10:19 a.m.
Last Update	May 25, 2026, 10:19 a.m.

CVSS3.0 : 低
Score	3.5
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

Affected System

GitHub

cli 1.6.0 以上 2.92.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45803	https://www.cve.org/CVERecord?id=CVE-2026-45803
National Vulnerability Database (NVD)
2	CVE-2026-45803	https://nvd.nist.gov/vuln/detail/CVE-2026-45803

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-150	https://cwe.mitre.org/data/definitions/150.html

ベンダー情報

No	Name	URL
GitHub
1	GitHub Actions log output in `gh run view` allows terminal escape sequence injection Advisory cli/cli GitHub	https://github.com/cli/cli/security/advisories/GHSA-crc3-h8v6-qh57

Change Log

No	Changed Details	Date of change
1	[2026年05月25日] 掲載	May 25, 2026, 10:19 a.m.

NVD Vulnerability Information

CVE-2026-45803

Summary	`gh` is GitHub’s official command line tool. From 1.6.0 to before 2.92.0, a security vulnerability has been identified in GitHub CLI that could allow terminal escape sequence injection when users view GitHub Actions workflow logs using gh run view --log or gh run view --log-failed. The vulnerability stems from the way GitHub CLI handles raw Actions log output. The gh run view --log and gh run view --log-failed commands stream workflow log lines to stdout or the configured pager without sanitizing terminal control sequences. An attacker who can influence GitHub Actions log content, for example via a PR triggered workflow, can embed escape sequences that are replayed in the user's terminal when they inspect the run. Depending on the victim's terminal emulator, injected sequences could change the window title, manipulate on screen content, or in some terminal emulators (such as screen) potentially execute arbitrary commands. This vulnerability is fixed in 2.92.0.
Publication Date	May 16, 2026, 1:16 a.m.
Registration Date	May 17, 2026, 4:12 a.m.
Last Update	May 22, 2026, 8:47 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:github:cli::::::::		1.6.0			2.92.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/cli/cli/security/advisories/GHSA-crc3-h8v6-qh57	security-advisories@github.com
2	https://github.com/cli/cli/security/advisories/GHSA-crc3-h8v6-qh57	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-150	エスケープ、メタ、またはコントロールシーケンスの不適切な無効化	https://cwe.mitre.org/data/definitions/150.html