PT-2024-6935 · Github · Github Enterprise Server
Securesaml.Com
·
Publicado
2024-10-10
·
Atualizado
2025-03-27
·
CVE-2024-9487
CVSS v4.0
9.5
Crítica
| Vetor | AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/R:U/V:C/RE:M/U:Red |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.15
GitHub Enterprise Server versão 3.11.16
GitHub Enterprise Server versão 3.12.10
GitHub Enterprise Server versão 3.13.5
GitHub Enterprise Server versão 3.14.2
Descrição
A vulnerabilidade está relacionada a uma verificação inadequada de assinaturas criptográficas no GitHub Enterprise Server, permitindo que a autenticação SAML SSO seja contornada. Isso resulta no provisionamento não autorizado de usuários e no acesso à instância. A exploração requer que o recurso de asserções criptografadas esteja habilitado, e o invasor precisa de acesso direto à rede, bem como de uma resposta SAML assinada ou de um documento de metadados.
Recomendações
Para versões do GitHub Enterprise Server anteriores à 3.11.16, atualize para a versão 3.11.16 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 3.12.10, atualize para a versão 3.12.10 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 3.13.5, atualize para a versão 3.13.5 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 3.14.2, atualize para a versão 3.14.2 ou posterior.
Como solução alternativa temporária, considere desativar o recurso de asserções criptografadas até que um patch esteja disponível.
Restrinja o acesso ao módulo de autenticação SAML SSO para minimizar o risco de exploração.
Correção
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server