PT-2024-6123 · Github · Github Enterprise Server
Vaibhav Singh
·
Publicado
2024-08-20
·
Atualizado
2024-09-27
·
CVE-2024-6337
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.14
GitHub Enterprise Server versão 3.13.3
GitHub Enterprise Server versão 3.12.8
GitHub Enterprise Server versão 3.11.14
GitHub Enterprise Server versão 3.10.16
Descrição
Foi identificada uma falha de autorização incorreta no GitHub Enterprise Server, permitindo que um aplicativo do GitHub com permissões limitadas lesse o conteúdo de issues dentro de um repositório privado. Isso só podia ser explorado por meio do token de acesso do usuário, e o token de acesso de instalação não foi afetado. A falha foi relatada por meio do programa GitHub Bug Bounty e já foi explorada em ataques reais.
Recomendações
Para versões do GitHub Enterprise Server anteriores à 3.14, atualize para a versão 3.13.3, 3.12.8, 3.11.14 ou 3.10.16 para resolver o problema.
Como solução temporária, considere restringir o acesso a repositórios privados para aplicativos do GitHub com permissões de conteúdo: read e pull request write: write até que a atualização seja aplicada.
Evite usar tokens de acesso de usuário para aplicativos do GitHub com permissões limitadas em repositórios privados até que o problema seja resolvido.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server