A GitHub publikált egy frissítést, amely három biztonsági hibát orvosol az Enterprise Server termékében, köztük egy kritikus hibát is, amelyet kihasználva a támadók adminisztrátori jogosultságokat is szerezhetnek a felületen. A legkritikusabb sérülékenységet a CVE-2024-6800 azonosítóval látták el. “Az olyan GitHub Enterprise Serverek, amelyek SAML autentikációt (SSO) használnak meghatározott IdP-kkel és nyilvánosan elérhető, aláírt metaadat XML-t alkalmaznak, egy támadó hamis SAML válasz létrehozásával felhasználói fiókot hozhat létre, vagy hozzáférhet egy adminisztrátori jogosultságokkal rendelkező fiókhoz” – közölte a GitHub egy felhívásukban.
A GitHub szintén javított két közepes súlyosságú hibát is:
CVE-2024-7711 – Helytelen jogosultságkezelési hiba, amely lehetővé teheti a támadó számára, hogy frissítse egy nyilvános repositoryban szereplő címeket, résztvevőket és címkéket is.
CVE-2024-6337 – Helytelen jogosultságkezelési hiba, amely lehetővé teheti a támadó számára, hogy hozzáférjen egy privát repository tartalmához a GitHub App használatával.
Mindhárom sérülékenységet a GitHub Enterprise Server 3.13.3, 3.12.8, 3.11.14 és 3.10.16 verzióiban javították. Májusban a GitHub már javított egy kritikus biztonsági sérülékenységet (CVE-2024-4985), amely lehetővé tehette a jogosulatlan hozzáférést egy adott példányhoz előzetes hitelesítés nélkül.
Azon szervezetek, amelyek sérülékeny GitHub Enterprise Server verziót használnak, erősen ajánlott frissíteni a legújabb verzióra, hogy megelőzzék a potenciális támadásokat.
