11月15日GitHub开发团队指出，该代码存储库存在高风险漏洞CVE-2024-52308，这项漏洞出现于其命令行界面（CLI），一旦遭到利用，在用户连接到恶意的Codespace SSH服务器，并下达gh codespace ssh或gh codespace logs命令的情况下，攻击者就有机会远程运行任意代码（RCE），CVSS风险评为8.1，GitHub发布2.62.0版修补。

对于这项弱点发生的原因，GitHub表示起因是命令行界面在运行命令的过程当中，处理SSH连接导致。当开发人员连接到远程的Codespace，通常会使用运行开发容器（devcontainer）的SSH服务器来存取，而这类容器的建置，通常是使用默认的镜像档来进行。

一旦外部的恶意开发容器在SSH服务器注入，并通过相关参数带入SSH连接详细数据，此时攻击者就有机会借由gh codespace ssh或gh codespace logs命令，于用户的工作站电脑运行任意代码，甚至有可能借此存取系统上用户的数据。

对此，开发团队发布新版修补上述漏洞，若是无法及时更新，IT人员应该在导入开发容器映像档的过程特别留意，最好采用受信任来源的映像档。