Se han descubierto vulnerabilidades de severidad alta en GitHub Enterprise Server. Un actor malicioso podría lograr la ejecución remota de código en la instancia o ejecutar scripts arbitrarios en el contexto de la sesión de otros usuarios.
Productos afectados
- GitHub Enterprise Server 3.19.x, versiones anteriores a 3.19.3.
- GitHub Enterprise Server 3.18.x, versiones anteriores a 3.18.6.
- Otras versiones anteriores con soporte (3.14 a 3.17) también se ven afectadas.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-3854: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando. Un actor malicioso con permisos de carga en un repositorio podría lograr la ejecución remota de código en la instancia mediante el uso de valores de opción de envío manipulados que inyectan metadatos adicionales en los encabezados de servicios internos.
CVE-2026-2266: con una puntuación de 7.4 en CVSS v4.0. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web. Un actor malicioso autenticado podría diseñar elementos de lista de tareas maliciosos en incidentes o solicitudes de cambio para ejecutar scripts arbitrarios en el navegador de otros usuarios mediante el procesamiento de nodos de texto.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias