GitHub, Enterprise Server ürününü etkileyen üç güvenlik açığını gidermek için düzeltmeler yayınladı. Bunlardan biri, site yöneticisi ayrıcalıkları elde etmek için kötüye kullanılabilecek kritik bir hata.
Eksikliklerin en büyüğü CVE tanımlayıcısı CVE-2024-6800 olarak belirlenmiş olup CVSS puanı 9,5’tir.
“Belirli Kimlik Sağlayıcıları ile kamuya açık imzalı federasyon meta verisi XML’ini kullanan SAML tek oturum açma (SSO) kimlik doğrulamasını kullanan GitHub Enterprise Server örneklerinde, bir saldırgan, site yöneticisi ayrıcalıklarına sahip bir kullanıcı hesabına erişim sağlamak ve/veya erişim elde etmek için bir SAML yanıtı oluşturabilir,” GitHub söz konusu bir danışmada.
Microsoft’un sahibi olduğu yan kuruluş ayrıca iki orta şiddetteki hatayı da giderdi:
- CVE-2024-7711 (CVSS puanı: 5,3) – Bir saldırganın genel bir depoda bulunan herhangi bir sorunun başlığını, atananlarını ve etiketlerini güncellemesine olanak tanıyabilecek yanlış bir yetkilendirme güvenlik açığı.
- CVE-2024-6337 (CVSS puanı: 5,9) – Bir saldırganın yalnızca içeriklere (okuma ve çekme istekleri: yazma izinleri) sahip bir GitHub Uygulaması kullanarak özel bir depoda bulunan sorun içeriklerine erişmesine olanak tanıyabilecek yanlış bir yetkilendirme güvenlik açığı.
Üç güvenlik açığı da giderildi ele alındı GHES 3.13.3, 3.12.8, 3.11.14 ve 3.10.16 sürümlerinde.
GitHub, Mayıs ayında, önceden kimlik doğrulaması gerektirmeden bir örneğe yetkisiz erişime izin verebilecek kritik bir güvenlik açığını (CVE-2024-4985, CVSS puanı: 10.0) da düzeltmişti.
GHES’in güvenlik açığı bulunan kendi barındırdığı bir sürümünü çalıştıran kuruluşların, olası güvenlik tehditlerine karşı korunmak için en son sürüme güncellemeleri şiddetle tavsiye edilir.