Kyle Carberry

Nome do Software Vulnerável e Versões Afetadas: GitHub Enterprise Server versão 3.17 Descrição: Foi identificado um problema de exposição de informações sensíveis que poderia permitir que um invasor divulgasse os nomes de repositórios privados dentro de uma organização. Esse problema poderia ser explorado utilizando um token de usuário para servidor sem escopos por meio do endpoint "Search API". A exploração bem-sucedida exigia que um administrador da organização instalasse um GitHub App malicioso nos repositórios da organização. Recomendações: Para o GitHub Enterprise Server versão 3.17, atualize para a versão 3.17.2 para resolver o problema. Como medida paliativa temporária, considere restringir a instalação de GitHub Apps a fontes confiáveis até que a atualização seja aplicada. Restrinja o acesso ao endpoint da Search API para minimizar o risco de exploração.