GitHub publikuje aktualizacje dla swoich produktów. (P25-319)

cert.pse-online.pl 1 miesiąc temu

Produkt	GitHub Enterprise Server – wersje 3.17.x wcześniejsze niż 3.17.6 GitHub Enterprise Server – wersje 3.16.x wcześniejsze niż 3.16.9 GitHub Enterprise Server – wersje 3.15.x wcześniejsze niż 3.15.13 GitHub Enterprise Server – wersje 3.14.x wcześniejsze niż 3.14.18
Numer CVE	CVE-2025-6981
Krytyczność	5.3/10
CVSS	AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N
Opis	Luka w zabezpieczeniach dotycząca nieprawidłowej autoryzacji umożliwiała nieautoryzowany dostęp do odczytu zawartości wewnętrznych repozytoriów kont kontrahentów po włączeniu funkcji API kontrahentów. API kontrahentów jest rzadko włączaną funkcją w wersji zapoznawczej.

Numer CVE	CVE-2025-8447
Krytyczność	7.0/10
CVSS	AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N
Opis	W systemie GitHub Enterprise Server zidentyfikowano lukę w zabezpieczeniach związaną z nieprawidłową kontrolą dostępu, która umożliwiała użytkownikom z dostępem do dowolnego repozytorium pobieranie ograniczonej zawartości kodu z innego repozytorium poprzez tworzenie różnic między repozytoriami. Aby wykorzystać tę lukę, atakujący musiał znać nazwę prywatnego repozytorium wraz z jego gałęziami, tagami lub algorytmami SHA zatwierdzenia, co pozwalało mu na uruchomienie funkcji porównywania/różnicowania i pobieranie ograniczonej zawartości kodu bez odpowiedniej autoryzacji.

Aktualizacja	TAK
Link	https://docs.github.com/en/enterprise-server@3.17/admin/release-notes https://docs.github.com/en/enterprise-server@3.16/admin/release-notes