یک آسیبپذیری با شناسه cve-2024-3646 و شدت 8.0 (بالا) در سرور GitHub Enterprise کشف شده است، که به مهاجم با نقش ویرایشگر در کنسول مدیریت اجازه میدهد هنگام پیکربندی یکپارچهسازی چت، دسترسی SSH ادمین را بدست آورد. بهرهبرداری از این آسیبپذیری مستلزم دسترسی به سرور GitHub Enterprise و هم چنین دسترسی به کنسول مدیریت با نقش ویرایشگر میباشد.
بر اساس بردار این آسیبپذیری CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H: بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، پیچیدگی حمله بالا میباشد(AC:H)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی بالایی میباشد (PR:H)، و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C)، در بدترین شرایط با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت را با شدت بالا تحت تأثیر قرار میدهد (C:H/I:H/A:H).
محصولات تحت تأثیر
نسخههای زیر از سرور GitHub Enterprise تحت تأثیر این آسیبپذیری قرار دارند:
• 3.9.0
• 3.10.0
• 3.11.0
• 3.12.0
توصیههای امنیتی
به کاربران توصیه میشود که سرورهای خود را به نسخههای وصلهشده ارتقاء دهند:
• 3.9.13
• 3.10.10
• 3.11.8
• 3.12.2
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-3646
[2] https://docs.github.com/en/enterprise-server
- 55