Vulnerabilidad en GitHub Enterprise Server (CVE-2022-23741)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/12/2022
Última modificación:
22/04/2025
Descripción
Se identificó una vulnerabilidad de autorización incorrecta en GitHub Enterprise Server que permitió que un token de usuario a servidor con alcance escalara a privilegios completos de administrador/propietario. Un atacante requeriría una cuenta con acceso de administrador para instalar una aplicación GitHub maliciosa. Esta vulnerabilidad se solucionó en las versiones 3.3.17, 3.4.12, 3.5.9 y 3.6.5. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.3.17 (excluyendo) | |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.4.0 (incluyendo) | 3.4.12 (excluyendo) |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.9 (excluyendo) |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.github.com/en/enterprise-server%403.3/admin/release-notes#3.3.17
- https://docs.github.com/en/enterprise-server%403.4/admin/release-notes#3.4.12
- https://docs.github.com/en/enterprise-server%403.5/admin/release-notes#3.5.9
- https://docs.github.com/en/enterprise-server%403.6/admin/release-notes#3.6.5
- https://docs.github.com/en/enterprise-server%403.3/admin/release-notes#3.3.17
- https://docs.github.com/en/enterprise-server%403.4/admin/release-notes#3.4.12
- https://docs.github.com/en/enterprise-server%403.5/admin/release-notes#3.5.9
- https://docs.github.com/en/enterprise-server%403.6/admin/release-notes#3.6.5