GitHub выпустил исправления для устранения серьёзной уязвимости в GitHub Enterprise Server (GHES), которая могла позволить злоумышленникам обходить системы аутентификации.
Уязвимость, обозначенная как CVE-2024-4985 с максимальным рейтингом CVSS 10.0, даёт неавторизованным пользователям доступ к системе без предварительной аутентификации.
«На серверах, использующих аутентификацию SAML с опционально включённой функцией зашифрованных утверждений, злоумышленник мог подделать ответ SAML для получения доступа к учётной записи с правами администратора», — говорится в сообщении компании.
GHES — это платформа для разработки программного обеспечения, которая позволяет организациям хранить и разрабатывать ПО с использованием системы управления версиями Git и автоматизировать процессы развёртывания.
Уязвимость затрагивает все версии GHES до 3.13.0 и была устранена в версиях 3.9.15, 3.10.12, 3.11.10 и 3.12.4.
Мы в VK: https://vk.com/darkwebex
