Autentizovanému vzdialenému útočníkovi s právami na čítanie obsahu a vytváranie "pull request" je umožnené neoprávnene zdielať informácie, týkajúce sa "issues", z privátneho repozitáru [1].

Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (<3.10.16) OR (>=3.11 AND <3.11.14) OR (>=3.12 AND <3.12.8) OR (>=3.13 AND <3.13.3).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:N/A:N

Viac informácií:

• CVE-2024-6337 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-863: Incorrect Authorization at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 20. 8. 2024.

Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene meniť informácie, týkajúce sa "issues", vo verejných repozitároch [2].

Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>=3.11 AND <3.11.14) OR (>=3.12 AND <3.12.8) OR (>=3.13 AND <3.13.3).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Viac informácií:

• CVE-2024-7711 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-863: Incorrect Authorization at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 20. 8. 2024.

Neautentizovanému vzdialenému útočníkovi je umožnené získať prístup k administrátorským účtom webu pomocou špeciálne vytvorenej SAML odpovede. Zraniteľnosť je zneužiteľná iba v prípade, že stroj využíva SAML SSO autentifikáciu so špecifickými poskytovateľmi identít (IdP), využívajúcimi verejne dostupné podpísané federatívne metadáta vo formáte XML [3].

Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (<3.10.16) OR (>=3.11 AND <3.11.14) OR (>=3.12 AND <3.12.8) OR (>=3.13 AND <3.13.3).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

Viac informácií:

• CVE-2024-6800 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-347: Improper Verification of Cryptographic Signature at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 20. 8. 2024.