Se han lanzado actualizaciones de seguridad que abordan tres vulnerabilidades en GitHub Enterprise Server, una de ellas de severidad crítica.
Productos afectados:
GitHub Enterprise Server en las siguientes versiones:
- Versión 3.13.3 y anteriores.
- Versión 3.12.8 y anteriores.
- Versión 3.11.14 y anteriores.
- Versión 3.10.16 y anteriores.
Impacto:
La vulnerabilidad crítica se identifica como CVE-2024-6800: con una puntuación en CVSSv3 de 9.5, y permitiría a un actor malicioso con acceso a la red de GitHub Enterprise Server falsificar respuestas SAML, lo que posibilita la provisión o adquisición de privilegios de administrador en el sitio. La explotación de esta vulnerabilidad permitirá el acceso no autorizado a la instancia sin requerir autenticación previa.
Recomendación:
Actualizar a la última versión disponible de los productos afectados desde la página web oficial del fabricante.
Referencias:
https://docs.github.com/en/enterprise-server-3.10/admin/release-notes-3.10.16
https://docs.github.com/en/enterprise-server@3.13/admin/release-notes#3.13.3
https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.8
https://docs.github.com/en/enterprise-server3.11/admin/release-notes-3,.11.14