PT-2026-54000 · Github · Github Enterprise Server

Hamayanhamayan

+1

·

Publicado

2026-06-30

·

Atualizado

2026-06-30

·

CVE-2026-10585

CVSS v4.0

6.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Nome do Software Vulnerável e Versões Afetadas GitHub Enterprise Server versões anteriores a 3.21
Description Um problema de cross-site scripting armazenado existe onde um invasor autenticado pode executar JavaScript arbitrário no navegador de outro usuário. Isso ocorre ao injetar um payload manipulado no título de uma Discussão na categoria Q&A. O AnsweredQuestionStructuredDataComponent não escapa os títulos de Discussão controlados pelo usuário antes de incorporá-los em um bloco <script type="application/ld+json">, permitindo que o título saia do contexto do script. O ataque é escalado ao utilizar o suporte de callback JSONP (JSON with Padding, uma técnica para permitir requisições de dados entre domínios) na API REST para ignorar a Política de Segurança de Conteúdo.
Recommendations Atualizar para a versão 3.20.4 Atualizar para a versão 3.19.8 Atualizar para a versão 3.18.11 Atualizar para a versão 3.17.17

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-10585

Produtos afetados

Github Enterprise Server