O GitHub lançou atualizações de segurança para o Enterprise Server (GHES) para corrigir múltiplos problemas, incluindo uma falha crítica que poderia permitir acesso não autorizado a uma instância.
A vulnerabilidade, rastreada como
CVE-2024-9487
, recebeu um score CVSS de 9.5 em um máximo de 10.0.
"Um atacante poderia contornar a autenticação SAML single sign-on (SSO) com o recurso opcional de asserções criptografadas, permitindo a provisão não autorizada de usuários e acesso à instância, ao explorar uma vulnerabilidade de verificação inadequada de assinaturas criptográficas no GitHub Enterprise Server," o GitHub informou em um alerta.
A empresa, pertencente à Microsoft, caracterizou a falha como uma regressão que foi introduzida como parte da correção subsequente do
CVE-2024-4985
(pontuação CVSS: 10.0), uma vulnerabilidade de severidade máxima que foi corrigida em maio de 2024.
Também foram corrigidas pelo GitHub outras duas deficiências:
CVE-2024-9539
(pontuação CVSS: 5.7) - Uma vulnerabilidade de divulgação de informações que poderia permitir que um atacante recuperasse metadados pertencentes a um usuário vítima ao clicar em URLs maliciosas para ativos SVG.
Exposição de dados sensíveis em formulários HTML no console de gerenciamento (sem CVE).
Todas as três vulnerabilidades de segurança foram corrigidas nas versões 3.14.2, 3.13.5, 3.12.10 e 3.11.16 do Enterprise Server.
Em agosto, o GitHub também corrigiu um defeito crítico de segurança (
CVE-2024-6800
, pontuação CVSS: 9.5) que poderia ser explorado para obter privilégios de administrador do site.
Organizações que estão executando uma versão auto-hospedada e vulnerável do GHES são altamente aconselhadas a atualizar para a última versão para se protegerem contra possíveis ameaças de segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...