PT-2026-53988 · Github · Github Enterprise Server
Vaibhav Singh
·
Publicado
2026-06-30
·
Atualizado
2026-06-30
·
CVE-2026-9106
CVSS v4.0
4.8
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
GitHub Enterprise Server versões anteriores a 3.22
Description
Um problema de representação da interface do usuário permite que um aplicativo OAuth obtenha acesso não autorizado ao gerenciamento de runners de uma organização. Um invasor pode explorar isso criando um aplicativo OAuth que solicita o escopo
manage runners:org e enganando um usuário para autorizá-lo, pois esse escopo específico não é exibido na tela de consentimento de autorização.Recommendations
Atualize para a versão 3.21.2, 3.20.4, 3.19.8, 3.18.11, 3.17.17 ou 3.16.20.
Correção
UI Misrepresentation of Critical Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github Enterprise Server