[TLP:CLEAR] GitHub Enterprise Server 3.12.2 opravuje 4 zranitelnosti
GitHub Enterprise Server 3.12.2 opravuje 4 zranitelnosti [1].
Autentizovanému vzdálenému útočníkovi s rolí editora v konzoli pro správu je umožněno získat administrátorský SSH přístup k instanci během konfigurace integrace chatu [2].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích (<3.12.2) OR (<3.11.8) OR (<3.10.10) OR (<3.9.13)
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-3646 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 4. 2024.
Autentizovanému vzdálenému útočníkovi s rolí editora v konzoli pro správu je umožněno získat SSH přístup k instanci použitím škodlivého příkazu během konfigurace úložišť artefaktů, protokolů a migrací [3].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích (<3.12.2) OR (<3.11.8) OR (<3.10.10) OR (<3.9.13)
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-3684 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 4. 2024.
Autentizovanému vzdálenému útočníkovi s deploy klíčem pro úložiště vlastněné organizací je umožněno obejít sadu pravidel určených správcem organizace [4].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích (<3.12.2) OR (<3.11.8) OR (<3.10.10) OR (<3.9.13)
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H
Více informací:
- CVE-2024-3470 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 4. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno udržet si přístup správce k odpojenému úložišti v důsledku "race condition" tím, že provede mutaci jazyka GraphQL, která změní oprávnění úložiště, zatímco je úložiště odpojeno [5].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích (<3.12.2) OR (<3.11.8) OR (<3.10.10) OR (<3.9.13)
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:H/A:L
Více informací:
- CVE-2024-2440 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 4. 2024.
Odkazy
Publikovala Michaela Mačalíková dne 22. 4. 2024.
