Vulnerabilidad en go-gh (CVE-2024-53859)

go-gh es un módulo Go para interactuar con la utilidad `gh` y la API de GitHub desde la línea de comandos. Se ha identificado una vulnerabilidad de seguridad en `go-gh` que podría filtrar tokens de autenticación destinados a hosts de GitHub a hosts que no sean de GitHub cuando se está dentro de un espacio de código. `go-gh` obtiene tokens de autenticación de diferentes variables de entorno según el host involucrado: 1. `GITHUB_TOKEN`, `GH_TOKEN` para GitHub.com y ghe.com y 2. `GITHUB_ENTERPRISE_TOKEN`, `GH_ENTERPRISE_TOKEN` para GitHub Enterprise Server. Antes de la versión `2.11.1`, `auth.TokenForHost` podía obtener un token de la variable de entorno `GITHUB_TOKEN` para un host que no fuera GitHub.com o ghe.com cuando se estaba dentro de un espacio de código. En la versión `2.11.1`, `auth.TokenForHost` solo obtendrá un token de la variable de entorno `GITHUB_TOKEN` para los hosts de GitHub.com o ghe.com. Una explotación exitosa podría enviar el token de autenticación a un host no deseado. Este problema se ha solucionado en la versión 2.11.1 y se recomienda a todos los usuarios que actualicen. También se recomienda a los usuarios que vuelvan a generar los tokens de autenticación y que revisen su registro de seguridad personal y cualquier registro de auditoría relevante para las acciones asociadas con su cuenta o empresa.