漏洞背景
近日,嘉诚安全监测到GitHub Enterprise Server中修复了一个命令注入漏洞和一个输入验证不当漏洞。
GitHub Enterprise Server是一个用于企业内软件开发的自托管平台,团队可使用GitHub Enterprise Server通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
1.CVE-2024-2443
GitHub Enterprise Server命令注入漏洞,经研判,该漏洞为高危漏洞。在管理控制台中具有编辑者角色的攻击者可以在配置GeoJSON设置时,通过命令注入获得对实例的SSH访问权限。
2.CVE-2024-2469
GitHub Enterprise Server输入验证不当漏洞,经研判,该漏洞为高危漏洞。具有管理员角色的攻击者可以通过远程代码执行获得SSH root访问权限。
危害影响
影响版本
GitHub Enterprise Server 3.8版本< 3.8.17
GitHub Enterprise Server 3.9版本< 3.9.12
GitHub Enterprise Server 3.10版本< 3.10.9
GitHub Enterprise Server 3.11版本< 3.11.7
GitHub Enterprise Server 3.12版本< 3.12.1
修复建议
目前这些漏洞已经修复,受影响用户可升级到GitHub Enterprise Server版本3.8.17、3.9.12、3.10.9、3.11.7或3.12.1。
下载链接请参考:
https://enterprise.github.com/releases/3.12.1/download
原文始发于微信公众号(嘉诚安全):【漏洞通告】GitHub Enterprise Server多个高危漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论