PT-2021-15240 · Github · Github Enterprise Server
Yvvdwf
·
Publicado
2021-07-14
·
Atualizado
2021-09-24
·
CVE-2021-22867
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.1.3
GitHub Enterprise Server versão 3.0.11 e anteriores
GitHub Enterprise Server versão 2.22.17 e anteriores
Descrição
Foi identificada uma vulnerabilidade de traversal de caminho no GitHub Enterprise Server que poderia ser explorada durante a criação de um site do GitHub Pages. As opções de configuração controladas pelo usuário utilizadas pelo GitHub Pages não estavam suficientemente restritas, possibilitando a leitura de arquivos na instância do GitHub Enterprise Server. Para explorar essa vulnerabilidade, um invasor precisaria de permissão para criar e construir um site do GitHub Pages na instância do GitHub Enterprise Server.
Recomendações
Para versões do GitHub Enterprise Server anteriores à 3.1.3, atualize para a versão 3.1.3 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 3.0.11, atualize para a versão 3.0.11 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 2.22.17, atualize para a versão 2.22.17 ou posterior.
Correção
Command Injection
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Github Enterprise Server