[TLP:CLEAR] GitHub Enterprise Server opravuje 2 zraniteľnosti

GitHub verziami 3.21.2, 3.20.4, 3.19.8, 3.18.11, 3.17.17, 3.16.20 opravuje 2 zraniteľnosti v produkte GitHub Enterprise Server [1][2].

GitHub Enterprise Server - XSS (CVE-2026-10585)
CVSS 6.3 (Medium)

Autentizovanému vzdialenému útočníkovi je v nadpise diskusie v kategórii Q&A umožnené vykonať stored XSS útok [1].

Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>=3.21.0 AND <3.21.2) OR (>=3.20.0 AND <3.20.4) OR (>=3.19.0 AND <3.19.8) OR (>=3.18.0 AND <3.18.11) OR (>=3.17.0 AND <3.17.17) OR (>=3.16.0 AND <3.16.20).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:H/SI:H/SA:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 1. 7. 2026.

GitHub Enterprise Server - incorrect access check (CVE-2026-14340)
CVSS 5.3 (Medium)

Autentizovanému vzdialenému útočníkovi s prístupovým tokenom viazaným na inštaláciu GitHub App je umožnené neoprávnene vytvárať obsah (ako napr. "issues" a "comments") na ľubovolných verejných repozitároch mimo rozsahu povolených prístupov tokenu [2].

Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>=3.21.0 AND <3.21.2) OR (>=3.20.0 AND <3.20.4) OR (>=3.19.0 AND <3.19.8) OR (>=3.18.0 AND <3.18.11) OR (>=3.17.0 AND <3.17.17) OR (>=3.16.0 AND <3.16.20).

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 1. 7. 2026.


Za CESNET-CERTS Martin Krajči dňa 2. 7. 2026.

CESNET-CERTS Logo