Vulnerabilidad en GitHub Enterprise Server (CVE-2025-6600)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

01/07/2025

Última modificación:

03/07/2025

Descripción

Se identificó una vulnerabilidad de exposición de información confidencial en GitHub Enterprise Server que podría permitir a un atacante divulgar los nombres de repositorios privados dentro de una organización. Este problema podría explotarse mediante un token de usuario a servidor sin alcances a través del endpoint de la API de búsqueda. Para explotarlo con éxito, el administrador de la organización tuvo que instalar una aplicación maliciosa de GitHub en los repositorios de la organización. Esta vulnerabilidad afectó únicamente a la versión 3.17 de GitHub Enterprise Server y se solucionó en la versión 3.17.2. La vulnerabilidad se reportó a través del programa de recompensas por errores de GitHub.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.30

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://docs.github.com/en/enterprise-server@3.17/admin/release-notes#3.17.2