CVE-2024-4985

Nome do software vulnerável e versões afetadas:

Versões do GitHub Enterprise Server anteriores à 3.13.0

GitHub Enterprise Server versão 3.9.15

GitHub Enterprise Server versão 3.10.12

GitHub Enterprise Server versão 3.11.10

GitHub Enterprise Server versão 3.12.4

Descrição:

Uma vulnerabilidade de contorno de autenticação estava presente no GitHub Enterprise Server ao utilizar a autenticação de logon único SAML com o recurso opcional de asserções criptografadas. Essa vulnerabilidade permitia que um invasor falsificasse uma resposta SAML para provisionar e/ou obter acesso a um usuário com privilégios de administrador do site. A exploração dessa vulnerabilidade permitiria o acesso não autorizado à instância sem a necessidade de autenticação prévia. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Recomendações:

Para versões do GitHub Enterprise Server anteriores à 3.13.0, atualize para a versão 3.13.0 ou posterior.

Para a versão 3.9.15 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.

Para a versão 3.10.12 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.

Para a versão 3.11.10 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.

Para a versão 3.12.4 do GitHub Enterprise Server, nenhuma ação adicional é necessária, pois essa versão já contém a correção.

Como solução temporária