PT-2021-15241 · Github · Github Enterprise Server
Yvvdwf
·
Publicado
2021-09-24
·
Atualizado
2021-10-01
·
CVE-2021-22868
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.1.8
Versões do GitHub Enterprise Server anteriores à 3.0.16
Versões do GitHub Enterprise Server anteriores à 2.22.22
Descrição
Foi identificada uma vulnerabilidade de traversal de caminho que poderia ser explorada durante a criação de um site do GitHub Pages, permitindo que um invasor lesse arquivos na instância do GitHub Enterprise Server. Isso se deve a restrições insuficientes nas opções de configuração controladas pelo usuário utilizadas pelo GitHub Pages. Para explorar essa vulnerabilidade, um invasor precisaria de permissão para criar e construir um site do GitHub Pages. A vulnerabilidade foi relatada por meio do programa GitHub Bug Bounty e está relacionada a uma correção incompleta de uma vulnerabilidade anterior.
Recomendações
Para versões anteriores à 3.1.8, atualize para a versão 3.1.8 ou posterior.
Para versões anteriores à 3.0.16, atualize para a versão 3.0.16 ou posterior.
Para versões anteriores à 2.22.22, atualize para a versão 2.22.22 ou posterior.
Correção
Command Injection
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Github Enterprise Server