Informazioni sul CVE-2021-22862

Improper access control in GitHub Enterprise Server leading to the disclosure of Actions secrets to forks

CWE ID: CWE-285

Base Score (CVSS): N/A

CVE: CVE-2021-22862

Descrizione: An improper access control vulnerability was identified in GitHub Enterprise Server that allowed an authenticated user with the ability to fork a repository to disclose Actions secrets for the parent repository of the fork. This vulnerability existed due to a flaw that allowed the base reference of a pull request to be updated to point to an arbitrary SHA or another pull request outside of the fork repository. By establishing this incorrect reference in a PR, the restrictions that limit the Actions secrets sent a workflow from forks could be bypassed. This vulnerability affected GitHub Enterprise Server version 3.0.0, 3.0.0.rc2, and 3.0.0.rc1. This vulnerability was reported via the GitHub Bug Bounty program.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://docs.github.com/en/enterprise-server%403.0/admin/release-notes#3.0.1

Prodotti interessati

GitHub – GitHub Enterprise Server

Relazioni con altri prodotti

Produttore:GitHub
Prodotto: GitHub Enterprise Server
Anno: 2021
CWE: CWE-285
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2021)