Vulnerabilidad en GitHub Enterprise Server (CVE-2024-3684)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/04/2024
Última modificación:
19/04/2024
Descripción
Se identificó una vulnerabilidad de Server-Side Request Forgery en GitHub Enterprise Server que permitió a un atacante con una función de editor en la Consola de administración obtener acceso de administrador al dispositivo al configurar Artefactos y registros y Almacenamiento de migraciones. La explotación de esta vulnerabilidad requirió acceso a la instancia de GitHub Enterprise Server y acceso a la Consola de administración con la función de editor. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.12 y se solucionó en las versiones 3.12.2, 3.11.8, 3.10.10 y 3.9.13. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.10
- https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.8
- https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.2
- https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.13