PT-2021-15238 · Github · Github Enterprise Server
Djcruz93
·
Publicado
2021-04-02
·
Atualizado
2022-10-25
·
CVE-2021-22865
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.0.4
Versões do GitHub Enterprise Server anteriores à 2.22.10
Versões do GitHub Enterprise Server anteriores à 2.21.18
Descrição
Foi identificada uma falha no controle de acesso que permitia que tokens de acesso gerados a partir do fluxo de autenticação web de um aplicativo do GitHub lessem metadados de repositórios privados via API REST sem que as permissões apropriadas tivessem sido concedidas. Para explorar essa vulnerabilidade, um invasor precisaria criar um aplicativo do GitHub e fazer com que um usuário o autorizasse, sendo que os metadados de repositórios privados retornados seriam limitados aos repositórios de propriedade do usuário identificado pelo token.
Recomendações
Para versões anteriores à 3.0.4, atualize para a versão 3.0.4 ou posterior.
Para versões anteriores à 2.22.10, atualize para a versão 2.22.10 ou posterior.
Para versões anteriores à 2.21.18, atualize para a versão 2.21.18 ou posterior.
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server