Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en GitHub Enterprise Server (CVE-2024-3684)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/04/2024
Última modificación:
19/04/2024

Descripción

Se identificó una vulnerabilidad de Server-Side Request Forgery en GitHub Enterprise Server que permitió a un atacante con una función de editor en la Consola de administración obtener acceso de administrador al dispositivo al configurar Artefactos y registros y Almacenamiento de migraciones. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.12.2, 3.11.8, 3.10.10 y 3.9.13. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.