[TLP:CLEAR] GitHub Enterprise Server opravuje 1 zranitelnost
GitHub Enterprise Server verzemi 3.14.17, 3.15.12, 3.16.8 a 3.17.5 opravuje vysoce závažnou zranitelnost [1].
Autentizovanému vzdálenému útočníkovi se znalostí názvu cílového privátního repozitáře a jeho reference (branch, tag nebo commit SHA) je využitím funkcionality compare/diff umožněno neoprávněně získat část kódu [1].
Zranitelnost se nachází v produktu GitHub Enterprise Server ve verzích (>=3.14.0 AND <3.14.17) OR (>=3.15.0 AND <3.15.12) OR (>=3.16.0 AND <3.16.8) OR (>=3.17.0 AND <3.17.5).
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N
Více informací:
- CVE-2025-8447 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 8. 2025.
Za CESNET-CERTS Michaela Ručková dne 2. 9. 2025.
