CVE-2026-8606

Nome do Software Vulnerável e Versões Afetadas GitHub Enterprise Server versões anteriores a 3.21.1

Description Uma falha de Server-Side Request Forgery (SSRF) permite que um invasor force o servidor a enviar requisições HTTP para serviços internos através do recurso de busca de pacotes de avisos de segurança. Ao direcionar requisições para um serviço de gerenciamento interno e analisar o tempo de resposta, um invasor pode inferir variáveis de ambiente sensíveis, como chaves privadas e segredos de assinatura. Este problema requer que o GitHub Packages esteja habilitado. Em instâncias que não operam em modo privado, a falha pode ser explorada sem autenticação; caso contrário, requer um usuário autenticado.

Recommendations Atualize para a versão 3.21.1 ou posterior. Atualize para a versão 3.20.3. Atualize para a versão 3.19.7. Atualize para a versão 3.18.10. Atualize para a versão 3.17.16. Atualize para a versão 3.16.19. Como mitigação temporária, desabilite o GitHub Packages para evitar a exploração.