Produkt | GitHub Enterprise Server – wersje 3.13.x wcześniejsze niż 3.13.3 GitHub Enterprise Server – wersje 3.12.x wcześniejsze niż 3.12.8 GitHub Enterprise Server – wersje 3.11.x wcześniejsze niż 3.11.14 GitHub Enterprise Server – wersje 3.10.x wcześniejsze niż 3.10.16 |
Numer CVE | CVE-2024-6800 |
Krytyczność | 9.5/10 |
CVSS | AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/R:U/V:C/RE:H/U:Red |
Opis | W przypadku wystąpień GitHub Enterprise Server, które używają uwierzytelniania SAML single sign-on (SSO) z określonymi dostawcami tożsamości wykorzystującymi publicznie ujawnione podpisane metadane federacji XML, atakujący może sfałszować odpowiedź SAML w celu zapewnienia i/lub uzyskania dostępu do konta użytkownika z uprawnieniami administratora witryny. |
Numer CVE | CVE-2024-7711 |
Krytyczność | 5.3/10 |
CVSS | AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/R:U/V:C/RE:H/U:Red |
Opis | Atakujący może zaktualizować tytuł, osoby przypisane i etykiety dowolnego problemu w publicznym repozytorium. Można to było wykorzystać tylko w publicznym repozytorium, a prywatne/wewnętrzne repozytoria nie były zagrożone. |
Numer CVE | CVE-2024-6337 |
Krytyczność | 5.9/10 |
CVSS | AV:N/AC:H/AT:P/PR:L/UI:P/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N/S:N |
Opis | Atakujący mógł ujawnić zawartość problemu z prywatnego repozytorium, używając aplikacji GitHub z zawartością: odczyt i żądania ściągnięcia: uprawnienia do zapisu. Było to możliwe tylko za pośrednictwem tokena dostępu użytkownika, a tokeny dostępu do instalacji nie zostały naruszone. |
Aktualizacja | TAK |
Link | https://docs.github.com/en/enterprise-server@3.13/admin/release-notes |