کشف آسیب‌پذیری در Github

کشف آسیب‌پذیری در Github

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-0200 و شدت CVSS score: 7.2 در سرور GitHub Enterprise کشف شده است که به مهاجمان دسترسی غیرمجاز و اجرای کد از راه دور را می‌دهد. برای بهره‌برداری از این نقص امنیتی، یک مهاجم باید به حسابی با نقش مالک سازمان(سطح دسترسی خیلی بالا) به حساب کاربری خود وارد شود. بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:L/A:L) بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند پیش‌زمینه‌ای نمی‌باشد و‌ و به‌راحتی قابل تکرار است (AC:H)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا دارد (PR:H)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و با بهره‌برداری از آن، یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند.

محصولات تحت تأثیر
این آسیب‌پذیری تمامی نسخه‌های قبل از 3.12 سرور GitHub Enterprise را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
GitHub این نقص امنیتی را در نسخه‌های 3.8.13, 3.9.8, 3.10.5 و 3.11.3 سرور GitHub Enterprise رفع کرده‌است و اعمال سریع وصله‌های امنیتی جهت کاهش مخاطرات احتمالی، بسیار مهم می‌باشد.

منبع خبر:


https://thehackernews.com/2024/01/github-rotates-keys-after-high-severity.html?m=1