PT-2020-12187 · Github · Github Enterprise Server
William Bowling
·
Publicado
2020-08-27
·
Atualizado
2021-10-07
·
CVE-2020-10517
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 2.22
GitHub Enterprise Server versão 2.21.6
GitHub Enterprise Server versão 2.20.15
GitHub Enterprise Server versão 2.19.21
Descrição
Foi identificada uma falha no controle de acesso no GitHub Enterprise Server, permitindo que usuários autenticados determinassem os nomes de repositórios privados não autorizados a partir de seus IDs numéricos. Essa falha não permitia acesso não autorizado a nenhum conteúdo do repositório além do nome. A falha foi relatada por meio do programa GitHub Bug Bounty.
Recomendações
Para versões do GitHub Enterprise Server anteriores à 2.22, atualize para a versão 2.22 ou posterior para resolver a falha.
Para a versão 2.21.6 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Para a versão 2.20.15 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Para a versão 2.19.21 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server