Kritisk sårbarhed i GitHub Enterprise Server

2024-08-23

Der er identificeret en kritisk svaghed i GitHub Enterprise Server som påvirker alle supportede versioner. Sårbarheden gør det muligt for en ikke autentificeret bruger at opnå ubegrænset adgang til den pågældende instans.

CVSS score 5.0
Svagheden har fået tildelt CVE-ID: CVE-2024-6800 og opnår en CVSS score på 9.5.

Teknisk set er der tale om en XML signatur wrapping sårbarhed som muliggør omgåelse af autentifikation men udelukkende på de instanser der gør brug af SAML single sign-on (SSO). For at misbruge denne sårbarhed forudsættes direkte adgang til en sårbar GitHub Enterprise Server.

Der er frigivet en sikkerhedsopdatering som bør installeres med det samme.

Denne sårbarhed er oplagt til at initiere supply chain angreb.

Der rettes samtidig også andre mindre alvorlige sårbarheder i GitHub Enterprise Server.

Yderligere oplysninger:
https://www.cve.org/cverecord?id=CVE-2024-6800
https://docs.github.com/en/enterprise-server@3.13/admin/release-notes