[TLP:CLEAR] GitHub Enterprise Server 3.12.1 opravuje 4 zranitelnosti
GitHub Enterprise Server verzí 3.12.1 opravuje 4 zranitelnosti.
Útočníkovi je prostřednictvím mutace jazyka GraphQL a změny oprávnění úložiště umožněno udržet si administrátorský přístup k již odpojenému úložišti [1].
Zranitelnost se nachází v produktu GitHub Enterprise Server
Více informací:
- CVE-2024-2440 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-732: Incorrect Permission Assignment for Critical Resource at cwe.mitre.org
Zranitelnost byla veřejně oznámena 20. 3. 2024.
Autentizovanému vzdálenému útočníkovi s rolí správce je umožněno získat přístup k SSH root účtu prostřednictvím vzdáleného spuštění kódu [2].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích >=3.8.0 AND <3.12.1.
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-2469 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 20. 3. 2024.
Autentizovanému vzdálenému útočníkovi s rolí editora v konzoli pro správu je umožněno získat administrátorský SSH přístup k zařízení při konfiguraci nastavení GeoJSON [3].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích <3.8.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-2443 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 20. 3. 2024.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím mutace jazyka GraphQL umožněno vykonat Cross-Site Request Forgery (CSRF) útoky a provádět neoprávněné akce jménem uživatele [4].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích ==3.12.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-2748 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-352: Cross-Site Request Forgery (CSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 20. 3. 2024.