CVE-2026-3582

Nome do Software Vulnerável e Versões Afetadas GitHub Enterprise Server versões anteriores à 3.20 GitHub Enterprise Server versões 3.16.15 a 3.16.15 GitHub Enterprise Server versões 3.17.12 a 3.17.12 GitHub Enterprise Server versões 3.18.6 a 3.18.6 GitHub Enterprise Server versões 3.19.3 a 3.19.3

Descrição Um problema de autorização incorreta foi identificado no GitHub Enterprise Server. Um usuário autenticado com um token de acesso pessoal clássico (PAT) que não possui o escopo repo poderia recuperar issues e commits de repositórios privados e internos. Isso era possível por meio dos endpoints da API REST de busca. O usuário precisava ter acesso existente ao repositório por meio de associação à organização ou como colaborador para que a exploração ocorresse. Os endpoints da API afetados são a API REST de busca. A variável vulnerável é o token de acesso pessoal clássico (PAT).

Recomendações Atualize o GitHub Enterprise Server para a versão 3.20 ou posterior. Atualize o GitHub Enterprise Server para a versão 3.16.15. Atualize o GitHub Enterprise Server para a versão 3.17.12. Atualize o GitHub Enterprise Server para a versão 3.18.6. Atualize o GitHub Enterprise Server para a versão 3.19.3.