Informazioni sul CVE-2024-10007
Pre-Receive Hook Path Collision Vulnerability in GitHub Enterprise Server Allowing Privilege Escalation
CWE ID: CWE-59
Base Score (CVSS): 8.7
CVE: CVE-2024-10007
Descrizione: Un colpo di frusta e una vulnerabilità di esecuzione di codice arbitrario è stato identificato in GitHub Enterprise Server che permetteva l’escape dei container per raggiungere la root tramite il percorso ghe-firejail. L’esfiltrazione di questo problema richiede l’accesso amministrativo al server GitHub Enterprise Server. Questo problema è stato riscontrato in tutte le versioni di GitHub Enterprise precedenti a 3.15 e è stato corretto in versioni 3.14.3, 3.13.6, 3.12.11 e 3.11.17. Questo problema è stato segnalato tramite il programma Bug Bounty di GitHub.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://docs.github.com/en/[email protected]/admin/release-notes#3.11.17
- https://docs.github.com/en/[email protected]/admin/release-notes#3.12.11
- https://docs.github.com/en/[email protected]/admin/release-notes#3.13.6
- https://docs.github.com/en/[email protected]/admin/release-notes#3.14.3
Prodotti interessati
- GitHub – Enterprise Server
Relazioni con altri prodotti
Produttore:GitHub
Prodotto: Enterprise Server
Anno: 2024
CWE: CWE-59
CVSS: 8.7