PT-2024-37178 · Github · Github Enterprise Server
Ahacker1
·
Publicado
2024-07-16
·
Atualizado
2024-09-17
·
CVE-2024-5816
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N |
Nome do software vulnerável e versões afetadas:
Versões do GitHub Enterprise Server anteriores à 3.14
GitHub Enterprise Server versão 3.9.17
GitHub Enterprise Server versão 3.10.14
GitHub Enterprise Server versão 3.11.12
GitHub Enterprise Server versão 3.12.6
GitHub Enterprise Server versão 3.13.1
Descrição:
Foi identificada uma falha de autorização incorreta no GitHub Enterprise Server, permitindo que um aplicativo GitHub suspenso mantivesse acesso ao repositório por meio de um token de acesso de usuário com escopo. Essa falha só podia ser explorada em repositórios públicos, enquanto os repositórios privados não foram afetados.
Recomendações:
Para versões do GitHub Enterprise Server anteriores à 3.9.17, atualize para a versão 3.9.17.
Para versões do GitHub Enterprise Server anteriores à 3.10.14, atualize para a versão 3.10.14.
Para versões do GitHub Enterprise Server anteriores à 3.11.12, atualize para a versão 3.11.12.
Para versões do GitHub Enterprise Server anteriores à 3.12.6, atualize para a versão 3.12.6.
Para versões do GitHub Enterprise Server anteriores à 3.13.1, atualize para a versão 3.13.1.
Como solução alternativa temporária, considere restringir o acesso a tokens de acesso de usuário com escopo para aplicativos GitHub suspensos até que um patch esteja disponível.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server