Informazioni sul CVE-2024-1378
Command injection vulnerability was identified in GitHub Enterprise Server that allowed privilege escalation in the Mangement Console
CWE ID: CWE-20
Base Score (CVSS): N/A
CVE: CVE-2024-1378
Descrizione: Una vulnerabilità di iniezione di comandi è stata identificata in GitHub Enterprise Server che permetteva a un attaccante con il ruolo di amministratore nella Console di Gestione di ottenere l’accesso SSH di amministratore al dispositivo appliance vianomad templates quando configurava le opzioni SMTP. L’esfiltrazione di questa vulnerabilità richiedeva l’accesso al server GitHub Enterprise Server e al Console di Gestione di amministratore con il ruolo. Questa vulnerabilità interessava tutte le versioni di GitHub Enterprise Server precedenti a 3.12 e è stata corretta in versioni 3.11.5, 3.10.7, 3.9.10, e 3.8.15. Questa vulnerabilità è stata segnalata tramite il programma Bug Bounty di GitHub https://bounty.github.com.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://docs.github.com/en/[email protected]/admin/release-notes#3.8.15
- https://docs.github.com/en/[email protected]/admin/release-notes#3.9.10
- https://docs.github.com/en/[email protected]/admin/release-notes#3.10.7
- https://docs.github.com/en/[email protected]/admin/release-notes#3.11.5
Prodotti interessati
- GitHub – Enterprise Server
Relazioni con altri prodotti
Produttore:GitHub
Prodotto: Enterprise Server
Anno: 2024
CWE: CWE-20
CVSS: 0.0