PT-2024-17981 · Github · Github Enterprise Server
Inspector-Ambitious
·
Publicado
2024-02-13
·
Atualizado
2024-03-05
·
CVE-2024-1369
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.12
GitHub Enterprise Server versão 3.11.5
GitHub Enterprise Server versão 3.10.7
GitHub Enterprise Server versão 3.9.10
GitHub Enterprise Server versão 3.8.15
Descrição
Foi identificada uma vulnerabilidade de injeção de comando no GitHub Enterprise Server, permitindo que um invasor com a função de editor no Console de Gerenciamento obtivesse acesso SSH de administrador ao dispositivo ao definir o nome de usuário e a senha para configurações do collectd. A exploração exigia acesso à instância do GitHub Enterprise Server e acesso ao Console de Gerenciamento com a função de editor.
Recomendações
Para versões do GitHub Enterprise Server anteriores à 3.12, atualize para a versão 3.12 ou posterior para resolver a vulnerabilidade.
Para a versão 3.11.5 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Para a versão 3.10.7 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Para a versão 3.9.10 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Para a versão 3.8.15 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Como solução alternativa temporária, considere restringir o acesso ao Console de Gerenciamento com a função de editor até que um patch seja aplicado.
Correção
RCE
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Github Enterprise Server