PT-2024-37592 · Github · Github Enterprise Server
Ahacker1
·
Publicado
2024-07-16
·
Atualizado
2024-09-17
·
CVE-2024-6395
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/S:N/AU:Y/V:C/RE:L/U:Amber |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.14
Descrição
Uma falha de exposição de informações confidenciais no GitHub Enterprise Server permite que um invasor identifique os nomes de repositórios privados que utilizam chaves de implantação. Essa falha não permite o acesso não autorizado a nenhum conteúdo do repositório além do nome. A falha foi relatada por meio do programa GitHub Bug Bounty.
Recomendações
Para versões anteriores à 3.9.17, atualize para a versão 3.9.17.
Para versões anteriores à 3.10.14, atualize para a versão 3.10.14.
Para versões anteriores à 3.11.12, atualize para a versão 3.11.12.
Para versões anteriores à 3.12.6, atualize para a versão 3.12.6.
Para versões anteriores à 3.13.1, atualize para a versão 3.13.1.
Como solução temporária, considere restringir o acesso às chaves de implantação até que um patch seja aplicado.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server