نقص حیاتی (CVE-2024-9487) GitHub Enterprise Server وصله شد

security news

GitHub به‌روزرسانی‌های امنیتی را برای Enterprise Server (GHES) منتشر کرده است تا باگ‌های متعددی را برطرف کند، از جمله یک آسیب‌پذیری حیاتی با شناسه CVE–2024–9487 و امتیاز CVS 9.5 که می‌تواند امکان دسترسی غیر مجاز را فراهم آورد.

GitHub اعلام کرد: مهاجم می‌تواند با استفاده از تأیید نامناسب آسیب‌پذیری امضاهای رمزنگاری‌شده در سرور GitHub Enterprise، از تأیید اعتبار SAML single sign–on (SSO) عبور کند و منجر به دسترسی غیرمجاز کاربران شود. شرکت متعلق به مایکروسافت این نقص را به عنوان یک رگرسیون (پسرفت) و به عنوان بخشی از اصلاحیه بعدی آسیب‌پذیری حیاتی CVE-2024-4985 (امتیاز CVSS: 10.0) که در می 2024 وصله شد، معرفی کرد .

در این اصلاحیه، دو نقص دیگر نیز توسط GitHub برطرف شده است:

  • CVE-2024-9539 (امتیاز CVSS: 5.7) آسیب‌پذیری افشای اطلاعات که می‌تواند مهاجم را به بازیابی متادیتای متعلق به کاربر قربانی با کلیک بر روی URL‌های مخرب برای دارایی‌های SVG قادر می‌سازد.
  • آسیب‌پذیری قرار گرفتن در معرض داده‌های حساس در فرم‌های HTML کنسول مدیریتی (بدون CVE)

✔️ هر سه آسیب‌پذیری امنیتی نام‌برده شده در نسخه‌های Enterprise Server 3.14.2، 3.13.5، 3.12.10 و 3.11.16 برطرف شده‌اند.

https://thehackernews.com/2024/10/github-patches-critical-flaw-in.html