PT-2024-7223 · Github · Github Enterprise Server
Păun Luca
·
Publicado
2024-10-04
·
Atualizado
2024-11-15
·
CVE-2024-9539
CVSS v4.0
5.7
Média
| Vetor | AV:N/AC:H/AT:P/PR:L/UI:A/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do GitHub Enterprise Server anteriores à 3.14
GitHub Enterprise Server versão 3.14.2
GitHub Enterprise Server versão 3.13.5
GitHub Enterprise Server versão 3.12.10
GitHub Enterprise Server versão 3.11.16
Descrição
Foi identificada uma vulnerabilidade de divulgação de informações no GitHub Enterprise Server por meio de uma URL de recurso enviada por um invasor, permitindo que este recuperasse metadados de um usuário que clicasse na URL e os explorasse para criar uma página de phishing convincente. Para isso, o invasor precisava enviar arquivos SVG maliciosos e induzir a vítima a clicar na URL do recurso enviado.
Recomendações
Para versões do GitHub Enterprise Server anteriores à 3.14, atualize para a versão 3.14.2, 3.13.5, 3.12.10 ou 3.11.16 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à URL do recurso carregado para minimizar o risco de exploração.
Evite usar arquivos SVG maliciosos no GitHub Enterprise Server afetado até que o problema seja resolvido.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server