Kritisk sårbarhet i GitHub Enterprise Server

GitHub har rättat en kritisk sårbarhet i GitHub Enterprise Server med en CVSS-klassificering på 10 av 10. Produkten används av organisationer som vill drifta GitHub i sin egen miljö. [1]

Sårbarheten (CVE-2024-4985) gör det möjligt för en angripare att genom ett specialutformat anrop kringgå autentiseringskontroller och skaffa sig tillgång till användarbehörigheter på administratörsnivå. Sårbarheten är kopplat till single sign-on-lösningen där SAML används i kombination med vissa konfigurationer.

Påverkade produkter

GitHub Enterprise Server versioner för 3.13.0

Rekommendationer

CERT-SE rekommenderar att uppgradera sårbara system. Rättade versioner är enligt GitHub 3.9.15, 3.10.12, 3.11.10 samt 3.12.4. [1, 2, 3, 4]

Källor

[1] https://docs.github.com/en/enterprise-server@3.12/admin/release-notes

[2] https://docs.github.com/en/enterprise-server@3.11/admin/release-notes

[3] https://docs.github.com/en/enterprise-server@3.10/admin/release-notes

[4] https://docs.github.com/en/enterprise-server@3.9/admin/release-notes