CVE-2024-6800: GitHub устранил критическую уязвимость в Enterprise Server

CVE-2024-6800: GitHub устранил критическую уязвимость в Enterprise Server

Обновитесь как можно скорее, если не хотите делить свои данные с хакерами.

image

20 августа GitHub выпустил обновления для устранения трёх уязвимостей безопасности в своём продукте Enterprise Server, включая одну критическую проблему, позволявшую злоумышленникам получить права администратора сайта.

Наиболее серьёзная уязвимость получила идентификатор CVE-2024-6800 и оценку 9.5 по шкале CVSS. Эта уязвимость касается серверов GitHub Enterprise, использующих SAML-аутентификацию с определёнными провайдерами идентификации (IdP), которые применяют публично доступные подписанные XML-файлы федеративных метаданных. В этом случае злоумышленник может подделать SAML-ответ и получить доступ к учётной записи с правами администратора сайта.

GitHub также устранил две других уязвимости средней степени опасности. Первая, с идентификатором CVE-2024-7711 и оценкой 5.3 по CVSS, связана с некорректной авторизацией, что позволяет атакующему изменить заголовки, назначенных ответственных и метки любой задачи в публичном репозитории. Вторая, с идентификатором CVE-2024-6337 и оценкой 5.9, также связана с некорректной авторизацией и позволяет получить доступ к содержимому задач в частных репозиториях, используя GitHub App с ограниченными правами на чтение содержимого и запись запросов на слияние.

Все три уязвимости были устранены в версиях GHES 3.13.3, 3.12.8, 3.11.14 и 3.10.16.

Ранее, в мае, GitHub также исправил критическую уязвимость безопасности ( CVE-2024-4985 ) с максимальной оценкой 10.0 по CVSS, которая позволяла получить несанкционированный доступ к серверу без предварительной аутентификации.

Организациям, использующим уязвимые версии GHES, настоятельно рекомендуется обновиться до последней версии, чтобы защититься от потенциальных угроз безопасности.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение