GitHub Enterprise Server de GitHub Errores de seguridad

Errores CVE de GitHub Enterprise Server de GitHub

Vulnerabilidades CVE de GitHub Enterprise Server de GitHub

8 de marzo del 2023

  • CVE-2022-46257: Se identificó una vulnerabilidad de divulgación de información en GitHub Enterprise Server que permitía que un usuario que no tenía acceso a esos repositorios agregara repositorios privados a un grupo de ejecución de GitHub Actions a través de la API, lo que provocaba que los nombres de los repositorios se mostraran en la interfaz de usuario. Para explotar esta vulnerabilidad, un atacante necesitaría acceso a la instancia de GHES, permisos para modificar los grupos de ejecución de GitHub Actions y adivinar con éxito la ID ofuscada de los repositorios privados. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.7 y se corrigió en las versiones 3.3.17, 3.4.12, 3.5.9, 3.6.5. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.

3 de marzo del 2023

  • CVE-2023-22381: Se identificó una vulnerabilidad de inyección de código en GitHub Enterprise Server que permitía establecer variables de entorno arbitrarias a partir de un único valor de variable de entorno en GitHub Actions cuando se usaba un ejecutor basado en Windows. Para aprovechar esta vulnerabilidad, un atacante necesitaría un permiso existente para controlar el valor de las variables de entorno para su uso con GitHub Actions. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.8.0 y se corrigió en las versiones 3.4.15, 3.5.12, 3.6.8, 3.7.5. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.

16 de febrero del 2023

  • CVE-2023-22380: Se identificó una vulnerabilidad de cruce de rutas en GitHub Enterprise Server que permitía la lectura arbitraria de archivos al crear un sitio de Páginas de GitHub. Para aprovechar esta vulnerabilidad, un atacante necesitaría permiso para crear y construir un sitio de Páginas de GitHub en la instancia del servidor de GitHub Enterprise. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server desde la 3.7 y se corrigió en la versión 3.7.6. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty

Sitios de referencia

  • CVE-2022-46257 https://docs.github.com/en/enterprise-server@3.6/admin/release-notes#3.6.5
  • CVE-2023-22381 https://docs.github.com/en/enterprise-server@3.4/admin/release-notes#3.4.15
  • CVE-2023-22380 https://docs.github.com/en/enterprise-server@3.7/admin/release-notes#3.7.6

Otras paginas de vulnerabilidades CVE

¿Quieres encontrar más vulnerabilidades?.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-11. Fecha publicación el 2023-02-21. Autor: Oscar olg Mapa del sitio Fuente: cve report