GitHub Enterprise Server 安全漏洞
CVE编号
CVE-2021-22869利用情况
暂无补丁情况
N/A披露时间
2021-09-26漏洞描述
GitHub Enterprise Server 是 (Github)开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。 GitHub Enterprise Server存在安全漏洞,该漏洞源于软件中的一个不恰当的访问控制漏洞允许工作流作业在它本不应该访问的自托管runner组中执行。这将影响使用自托管runner组进行访问控制的客户。访问一个企业runner组的存储库可以访问组织中的所有企业runner组,因为在请求期间进行了不正确的身份验证检查。这可能会导致代码被不正确的运行程序组无意中运行。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://docs.github.com/en/[email protected]/admin/release-notes#3.1.8
参考链接 |
|
|---|---|
| https://docs.github.com/en/enterprise-server%403.0/admin/release-notes | |
| https://docs.github.com/en/enterprise-server%403.1/admin/release-notes |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | github | enterprise_server | * | From (including) 3.0.0 | Up to (excluding) 3.0.16 | ||||
| 运行在以下环境 | |||||||||
| 应用 | github | enterprise_server | * | From (including) 3.1.0 | Up to (excluding) 3.1.8 | ||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-287 | 认证机制不恰当 |
| CWE-668 | 将资源暴露给错误范围 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论