Vulnerabilidad en GitHub Enterprise Server (CVE-2022-23739)

Se identificó una vulnerabilidad de autorización incorrecta en GitHub Enterprise Server, lo que permite escalar privilegios en solicitudes de API GraphQL desde GitHub Apps. Esta vulnerabilidad permitió que una aplicación instalada en una organización obtuviera acceso y modificara la mayoría de los recursos a nivel de la organización que no están vinculados a un repositorio, independientemente de los permisos otorgados, como usuarios y proyectos de toda la organización. Los recursos asociados con los repositorios no se vieron afectados, como el contenido de los archivos del repositorio, los proyectos específicos del repositorio, los problemas o las solicitudes de extracción. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.7.1 y se solucionó en las versiones 3.3.16, 3.4.11, 3.5.8, 3.6.4, 3.7.1. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.