Vulnerabilidad en GitHub Enterprise Server (CVE-2024-5815)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
16/07/2024
Última modificación:
17/09/2024
Descripción
Una vulnerabilidad de Cross-Site Request Forgery en GitHub Enterprise Server permitió operaciones de escritura en un repositorio propiedad de la víctima explotando tipos de solicitudes incorrectos. Un factor atenuante es que el atacante tendría que ser un usuario confiable de GitHub Enterprise Server y la víctima tendría que visitar una etiqueta en la bifurcación del atacante en su propio repositorio. La vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.9.0 (incluyendo) | 3.9.17 (excluyendo) |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.10.0 (incluyendo) | 3.10.14 (excluyendo) |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.11.0 (incluyendo) | 3.11.12 (excluyendo) |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.12.0 (incluyendo) | 3.12.6 (excluyendo) |
| cpe:2.3:a:github:enterprise_server:3.13.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.9.17
- https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.10.14
- https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.11.12
- https://docs.github.com/en/enterprise-server@3.13/admin/release-notes#3.12.6
- https://docs.github.com/en/enterprise-server@3.13/admin/release-notes#3.13.1