聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GitHub 发布Enterprise Server (GHES) 安全更新,修复了多个问题,其中一个严重漏洞CVE-2024-9487(CVSS评分9.5)可导致越权访问实例。
GitHub 提到,“攻击者可利用可选加密断言特性,绕过SAML 单点登录 (SSO) 认证,导致越权用户利用 GitHub Enterprise Server 中存在的一个加密签名验证不当漏洞,访问该实例。”
GitHub 提到该漏洞是因CVE-2024-4985 (CVSS评分10)漏洞修复而引起的,后者在2024年5月修复。
GitHub 还修复了其它两个漏洞:
CVE-2024-9539(CVSS评分5.7)是信息泄露漏洞。受害者点击 SVG 资产的恶意URL时,攻击者能够检索受害者的元数据。
管理面板中以HTML形式暴露的敏感数据(尚无CVE编号)。
所有这三个漏洞已在 Enterprise Server 版本3.14.2、3.13.5、3.12.10和3.11.16中修复。
8月份,GitHub 还修复了一个严重漏洞CVE-2024-6800(CVSS评分9.5),可被滥用于获取站点管理员权限。
建议运行易受攻击自托管 GHES 版本的组织机构尽快更新至最新版本。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
GitHub Enterprise Server 中存在严重的认证漏洞
存疑 CVE 漏洞带来无谓压力 热门开源项目开发者归档 GitHub 仓库
原文链接
https://thehackernews.com/2024/10/github-patches-critical-flaw-in.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
