يقوم GitHub بتصحيح ثغرة أمنية خطيرة في خادم المؤسسة الذي يمنح امتيازات المسؤول
أصدرت GitHub إصلاحات لمعالجة مجموعة من ثلاثة عيوب أمنية تؤثر على منتج Enterprise Server الخاص بها، بما في ذلك خطأ فادح يمكن إساءة استخدامه للحصول على امتيازات مسؤول الموقع.
تم تعيين معرف CVE الأكثر خطورة من بين أوجه القصور CVE-2024-6800، ويحمل درجة CVSS تبلغ 9.5.
“في مثيلات GitHub Enterprise Server التي تستخدم مصادقة SAML لتسجيل الدخول الموحد (SSO) مع IdPs محددين يستخدمون XML لبيانات تعريف الاتحاد الموقعة المكشوفة للعامة، يمكن للمهاجم صياغة استجابة SAML للتوفير و/أو الوصول إلى حساب مستخدم يتمتع بامتيازات مسؤول الموقع. “، جيثب قال في استشارة.
قامت الشركة التابعة المملوكة لشركة Microsoft أيضًا بمعالجة زوج من العيوب متوسطة الخطورة –
- CVE-2024-7711 (درجة CVSS: 5.3) – ثغرة أمنية غير صحيحة في التفويض قد تسمح للمهاجم بتحديث العنوان والمتنازل لهم والتسميات الخاصة بأي مشكلة داخل مستودع عام.
- CVE-2024-6337 (درجة CVSS: 5.9) – ثغرة أمنية غير صحيحة في الترخيص قد تسمح للمهاجم بالوصول إلى محتويات المشكلة من مستودع خاص باستخدام تطبيق GitHub مع المحتويات فقط: طلبات القراءة والسحب: أذونات الكتابة.
جميع الثغرات الأمنية الثلاثة كانت موجهة في إصدارات GHES 3.13.3 و3.12.8 و3.11.14 و3.10.16.
في شهر مايو، قام GitHub أيضًا بتصحيح ثغرة أمنية خطيرة (CVE-2024-4985، درجة CVSS: 10.0) والتي قد تسمح بالوصول غير المصرح به إلى مثيل دون الحاجة إلى مصادقة مسبقة.
يُنصح بشدة المؤسسات التي تقوم بتشغيل إصدار ضعيف مستضاف ذاتيًا من GHES بالتحديث إلى أحدث إصدار للحماية من التهديدات الأمنية المحتملة.
إرسال التعليق