[TLP:CLEAR] GitHub Enterprise Server 3.12.1 opravuje 4 zranitelnosti

GitHub Enterprise Server verzí 3.12.1 opravuje 4 zranitelnosti.

GitHub - (CVE-2024-2440)

Útočníkovi je prostřednictvím mutace jazyka GraphQL a změny oprávnění úložiště umožněno udržet si administrátorský přístup k již odpojenému úložišti [1].

Zranitelnost se nachází v produktu GitHub Enterprise Server

Více informací:

Zranitelnost byla veřejně oznámena 20. 3. 2024.

GitHub - RCE (CVE-2024-2469) CVSS 8.0 (High)

Autentizovanému vzdálenému útočníkovi s rolí správce je umožněno získat přístup k SSH root účtu prostřednictvím vzdáleného spuštění kódu [2].

Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích >=3.8.0 AND <3.12.1.

CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 20. 3. 2024.

GitHub - (CVE-2024-2443) CVSS 9.1 (Critical)

Autentizovanému vzdálenému útočníkovi s rolí editora v konzoli pro správu je umožněno získat administrátorský SSH přístup k zařízení při konfiguraci nastavení GeoJSON [3].

Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích <3.8.0.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 20. 3. 2024.

GitHub - CSRF (CVE-2024-2748) CVSS 4.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím mutace jazyka GraphQL umožněno vykonat Cross-Site Request Forgery (CSRF) útoky a provádět neoprávněné akce jménem uživatele [4].

Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích ==3.12.0.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 20. 3. 2024.


Publikovala Michaela Mačalíková dne 28. 3. 2024.

CESNET CERTS Logo