CVE-2024-1374

Versões do GitHub Enterprise Server anteriores à 3.12

GitHub Enterprise Server versão 3.11.5

GitHub Enterprise Server versão 3.10.7

GitHub Enterprise Server versão 3.9.10

GitHub Enterprise Server versão 3.8.15

Foi identificada uma vulnerabilidade de injeção de comando no GitHub Enterprise Server que permitia que um invasor com a função de editor no Console de Gerenciamento obtivesse acesso SSH de administrador ao dispositivo por meio de modelos nomad ao configurar o encaminhamento de logs de auditoria. A exploração dessa vulnerabilidade exigia acesso à instância do GitHub Enterprise Server e acesso ao Console de Gerenciamento com a função de editor. Essa vulnerabilidade foi relatada por meio do programa GitHub Bug Bounty.

Para versões do GitHub Enterprise Server anteriores à 3.12, atualize para a versão 3.12 ou posterior para resolver o problema.

Para a versão 3.11.5 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois esta versão já contém a correção.

Para a versão 3.10.7 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois esta versão já contém a correção.

Para a versão 3.9.10 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.

Para a versão 3.8.15 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.

Como solução alternativa temporária, considere restringir o acesso ao Console de Gerenciamento e aos modelos nomad para minimizar o risco de exploração.