CVE-2021-22862

GitHub Enterprise Server versões 3.0.0, 3.0.0.rc2 e 3.0.0.rc1

Foi identificada uma falha no controle de acesso que permitia que um usuário autenticado, com permissão para criar um fork de um repositório, divulgasse segredos do Actions relativos ao repositório pai do fork. Esse problema existia devido a uma falha que permitia que a referência base de uma solicitação de pull fosse atualizada para apontar para um SHA arbitrário ou outra solicitação de pull fora do repositório bifurcado. Ao estabelecer essa referência incorreta em uma solicitação de pull, as restrições que limitam os segredos do Actions enviados por um fluxo de trabalho a partir de bifurcações podiam ser contornadas.

Para o GitHub Enterprise Server versão 3.0.0, atualize para uma versão que inclua a correção para esse problema.

Para o GitHub Enterprise Server versão 3.0.0.rc2, atualize para uma versão que inclua a correção para este problema.

Para o GitHub Enterprise Server versão 3.0.0.rc1, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir a capacidade de bifurcar repositórios e atualizar a referência base de pull requests para minimizar o risco de exploração.