Vulnerabilidades CVE de GitHub Enterprise Server de GitHub
8 de marzo del 2023
- CVE-2022-46257: Se identificó una vulnerabilidad de divulgación de información en GitHub Enterprise Server que permitía que un usuario que no tenía acceso a esos repositorios agregara repositorios privados a un grupo de ejecución de GitHub Actions a través de la API, lo que provocaba que los nombres de los repositorios se mostraran en la interfaz de usuario. Para explotar esta vulnerabilidad, un atacante necesitaría acceso a la instancia de GHES, permisos para modificar los grupos de ejecución de GitHub Actions y adivinar con éxito la ID ofuscada de los repositorios privados. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.7 y se corrigió en las versiones 3.3.17, 3.4.12, 3.5.9, 3.6.5. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
3 de marzo del 2023
- CVE-2023-22381: Se identificó una vulnerabilidad de inyección de código en GitHub Enterprise Server que permitía establecer variables de entorno arbitrarias a partir de un único valor de variable de entorno en GitHub Actions cuando se usaba un ejecutor basado en Windows. Para aprovechar esta vulnerabilidad, un atacante necesitaría un permiso existente para controlar el valor de las variables de entorno para su uso con GitHub Actions. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.8.0 y se corrigió en las versiones 3.4.15, 3.5.12, 3.6.8, 3.7.5. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
16 de febrero del 2023
- CVE-2023-22380: Se identificó una vulnerabilidad de cruce de rutas en GitHub Enterprise Server que permitía la lectura arbitraria de archivos al crear un sitio de Páginas de GitHub. Para aprovechar esta vulnerabilidad, un atacante necesitaría permiso para crear y construir un sitio de Páginas de GitHub en la instancia del servidor de GitHub Enterprise. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server desde la 3.7 y se corrigió en la versión 3.7.6. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty
Sitios de referencia
- CVE-2022-46257
https://docs.github.com/en/enterprise-server@3.6/admin/release-notes#3.6.5 - CVE-2023-22381
https://docs.github.com/en/enterprise-server@3.4/admin/release-notes#3.4.15 - CVE-2023-22380
https://docs.github.com/en/enterprise-server@3.7/admin/release-notes#3.7.6
Otras paginas de vulnerabilidades CVE
- CVAT
- Ethernet intelr
- Aspera faspex
- Espcms p8 21120101
- Infoblox bloxone endpoint
- Projectworlds online doctor appointment booking system
- Arris tg2482a
- Extensions for cf7 contact form 7 database conditional fields and redirection
- urllib-parse
- Booking calendar appointment booking system
- Sourcecodester online pizza ordering system
- tftpd64 se
- Single connect
- Intern record system
- fcs server
- QATZIP
- Secure connect gateway scg 5.0 srs
- Real time logic fuguhub
- LuckyFrameWeb
- Intel(R) Ethernet Serie E810
- Intel(R) QAT para Linux
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-03-11. Fecha publicación el 2023-02-21. Autor: Oscar olg Mapa del sitio Fuente: cve report