PT-2024-38898 · Github · Github Enterprise Server
Syvb
·
Publicado
2024-09-23
·
Atualizado
2024-09-30
·
CVE-2024-8263
CVSS v4.0
6.2
Média
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:L/VA:N/SC:L/SI:H/SA:N |
Nome do software vulnerável e versões afetadas:
Versões do GitHub Enterprise Server anteriores à 3.10.17
Versões do GitHub Enterprise Server anteriores à 3.11.15
Versões do GitHub Enterprise Server anteriores à 3.12.9
Versões do GitHub Enterprise Server anteriores à 3.13.4
Versões do GitHub Enterprise Server anteriores à 3.14.1
Descrição:
Um problema de gerenciamento inadequado de privilégios permitiu que fluxos de trabalho arbitrários fossem confirmados usando um Token de Acesso Pessoal (PAT) com escopo inadequado por meio do uso de tags aninhadas. Este problema foi relatado por meio do programa GitHub Bug Bounty.
Recomendações:
Para versões anteriores à 3.10.17, atualize para a versão 3.10.17 ou posterior.
Para versões anteriores à 3.11.15, atualize para a versão 3.11.15 ou posterior.
Para versões anteriores à 3.12.9, atualize para a versão 3.12.9 ou posterior.
Para versões anteriores à 3.13.4, atualize para a versão 3.13.4 ou posterior.
Para versões anteriores à 3.14.1, atualize para a versão 3.14.1 ou posterior.
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server