PT-2024-8208 · Github · Github Enterprise Server
Inspector-Ambitious
·
Publicado
2024-03-12
·
Atualizado
2025-08-27
·
CVE-2024-10007
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do GitHub Enterprise Server anteriores à 3.15
GitHub Enterprise Server versão 3.14.2 e anteriores
Versões do GitHub Enterprise Server anteriores à 3.14.3
Versões do GitHub Enterprise Server anteriores à 3.13.6
Versões do GitHub Enterprise Server anteriores à 3.12.11
Versões do GitHub Enterprise Server anteriores à 3.11.17
Descrição:
Foi identificada uma vulnerabilidade de colisão de caminho e execução de código arbitrário no GitHub Enterprise Server, permitindo que a fuga do contêiner escale para o root através do caminho ghe-firejail. A exploração dessa vulnerabilidade requer acesso de Administrador do Enterprise à instância do GitHub Enterprise Server. Esse problema pode levar à escalada de privilégios para o root.
Recomendações:
Para versões do GitHub Enterprise Server anteriores à 3.15, atualize para a versão 3.14.3 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 3.14.3, atualize para a versão 3.14.3.
Para versões do GitHub Enterprise Server anteriores à 3.13.6, atualize para a versão 3.13.6 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 3.12.11, atualize para a versão 3.12.11 ou posterior.
Para versões do GitHub Enterprise Server anteriores à 3.11.17, atualize para a versão 3.11.17 ou posterior.
Correção
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server