GitHub Enterprise Server opravuje 1 zraniteľnosť

[TLP:CLEAR] GitHub Enterprise Server opravuje 1 zraniteľnosť

GitHub verziami 3.12.5, 3.11.11, 3.10.13 a 3.9.16 opravuje zraniteľnosť CVE-2024-5746 v produkte GitHub Enterprise Server [1].

GitHub Enterprise Server - RCE (CVE-2024-5746) CVSS 7.6 (High)

Vzdialenému autentizovanému útočníkovi s právami administrátora stránky je umožnené vykonávať kód na zraniteľnom stroji pomocou funkcionality na konfiguráciu logov [2][1].

Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (<3.9.16) OR (>=3.10 AND <3.10.13) OR (>=3.11 AND <3.11.11) OR (>=3.12 AND <3.12.5).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:L

Viac informácií:

CVE-2024-5746 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 20. 6. 2024.

Odkazy

[1] https://nvd.nist.gov/vuln/detail/CVE-2024-5746
[2] https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.16

Publikoval Martin Krajči dňa 21. 6. 2024.