CVE-2021-22863

Versões 2.12.22 a 2.20.23 do GitHub Enterprise Server

Versões 2.21.0 a 2.21.14 do GitHub Enterprise Server

Versões 2.22.0 a 2.22.6 do GitHub Enterprise Server

Versão 3.0.0 do GitHub Enterprise Server

Foi identificada uma falha no controle de acesso na API GraphQL do GitHub Enterprise Server, permitindo que usuários autenticados modificassem a permissão de colaboração do mantenedor de uma solicitação de pull sem a devida autorização. Isso poderia permitir que um invasor obtivesse acesso aos ramos principais de solicitações de pull abertas em repositórios dos quais ele é mantenedor. No entanto, a criação de bifurcações está desativada por padrão para repositórios privados de propriedade da organização, o que impediria essa falha. Além disso, proteções de ramificação, como revisões obrigatórias de pull requests ou verificações de status, impediriam que commits não autorizados fossem mesclados sem revisão ou validação adicional.

Para as versões 2.12.22 a 2.20.23 do GitHub Enterprise Server, atualize para a versão 2.20.24 ou posterior.

Para as versões 2.21.0 a 2.21.14 do GitHub Enterprise Server, atualize para a versão 2.21.15 ou posterior.

Para as versões 2.22.0 a 2.22.6 do GitHub Enterprise Server, atualize para a versão 2.22.7 ou posterior.

Para a versão 3.0.0 do GitHub Enterprise Server, atualize para a versão 3.0.1 ou posterior.