PT-2024-17990 · Github · Github Enterprise Server
Inspector-Ambitious
·
Publicado
2024-02-13
·
Atualizado
2024-03-01
·
CVE-2024-1378
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.12
GitHub Enterprise Server versão 3.11.5
GitHub Enterprise Server versão 3.10.7
GitHub Enterprise Server versão 3.9.10
GitHub Enterprise Server versão 3.8.15
Descrição
Foi identificada uma vulnerabilidade de injeção de comando no GitHub Enterprise Server que permitia que um invasor com a função de editor no Console de Gerenciamento obtivesse acesso SSH de administrador ao dispositivo por meio de modelos nomad ao configurar opções SMTP. A exploração dessa vulnerabilidade exigia acesso à instância do GitHub Enterprise Server e acesso ao Console de Gerenciamento com a função de editor.
Recomendações
Para versões do GitHub Enterprise Server anteriores à 3.12, atualize para a versão 3.12 ou posterior para resolver o problema.
Para a versão 3.11.5 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois esta versão já contém a correção.
Para a versão 3.10.7 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois esta versão já contém a correção.
Para a versão 3.9.10 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Para a versão 3.8.15 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.
Como solução alternativa temporária, considere restringir o acesso ao Console de Gerenciamento com a função de editor até que um patch esteja disponível.
Correção
RCE
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Github Enterprise Server