Vulnerabilidad en GitHub Enterprise Server (CVE-2024-3646)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
19/04/2024
Última modificación:
19/04/2024
Descripción
Se identificó una vulnerabilidad de inyección de comandos en GitHub Enterprise Server que permitió a un atacante con una función de editor en Management Console obtener acceso SSH de administrador a la instancia al configurar la integración del chat. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.12.2, 3.11.8, 3.10.10 y 3.9.13. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.10
- https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.8
- https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.2
- https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.13