PT-2022-11438 · Github · Github Enterprise Server
Vaibhav Singh
·
Publicado
2022-01-25
·
Atualizado
2022-02-01
·
CVE-2021-41598
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.3
Descrição
Foi identificada uma falha de representação incorreta na interface do usuário que permitia a concessão de mais permissões durante o fluxo de autorização do usuário de um aplicativo do GitHub do que as exibidas ao usuário durante a aprovação. Para explorar essa vulnerabilidade, um invasor precisaria criar um aplicativo do GitHub e fazer com que um usuário o autorizasse por meio do fluxo de autenticação na web. O problema ocorria quando um usuário atualizava o conjunto de repositórios nos quais o aplicativo estava instalado após o aplicativo do GitHub ter configurado permissões adicionais no nível do usuário, levando à concessão de mais permissões do que o usuário possivelmente pretendia.
Recomendações
Para versões anteriores à 3.2.5, atualize para a versão 3.2.5 ou posterior.
Para versões anteriores à 3.1.13, atualize para a versão 3.1.13 ou posterior.
Para versões anteriores à 3.0.21, atualize para a versão 3.0.21 ou posterior.
Como solução alternativa temporária, considere restringir o uso de aplicativos do GitHub que configuram permissões adicionais no nível do usuário até que um patch esteja disponível.
Correção
UI Misrepresentation of Critical Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server