Informazioni sul CVE-2024-10001
Code Injection Vulnerability in GitHub Enterprise Server Allows Arbitrary Code Execution via Message Handling
CWE ID: CWE-94
Base Score (CVSS): 7.1
CVE: CVE-2024-10001
Descrizione: Una vulnerabilità di iniezione di codice è stata identificata in GitHub Enterprise Server che permetteva agli attaccanti di iniettare codice malevolo nella funzione di selezione della query tramite la proprietà “identità” nel messaggio di elaborazione. Questo ha abilitato l’esfiltrazione di dati sensibili manipolando il DOM, inclusi i token di autenticazione. Per eseguire l’attacco, il bersaglio deve essere loggato su GitHub e interagire con la pagina web dell’attaccante controllata che contiene l’iframe nascosto. Questa vulnerabilità si verifica a causa di un sequenza di validazione errata, dove la verifica dell’origine avviene dopo aver accettato la proprietà “identità” controllata. Questa vulnerabilità ha colpito tutte le versioni di GitHub Enterprise Server precedenti a 3.11.16, 3.12.10, 3.13.5, 3.14.2, e 3.15.0. Questa vulnerabilità è stata segnalata tramite il programma Bug Bounty di GitHub.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://docs.github.com/en/[email protected]/admin/release-notes#3.11.17
- https://docs.github.com/en/[email protected]/admin/release-notes#3.12.11
- https://docs.github.com/en/[email protected]/admin/release-notes#3.13.6
- https://docs.github.com/en/[email protected]/admin/release-notes#3.14.3
- https://docs.github.com/en/[email protected]/admin/release-notes#3.15.0
Prodotti interessati
- GitHub – Enterprise Server
Relazioni con altri prodotti
Produttore:GitHub
Prodotto: Enterprise Server
Anno: 2024
CWE: CWE-94
CVSS: 7.1