Informazioni sul CVE-2024-1908
Improper Privilege Management vulnerability was identified in GitHub Enterprise Server that allowed Privilege Escalation
CWE ID: CWE-269
Base Score (CVSS): N/A
CVE: CVE-2024-1908
Descrizione: Una vulnerabilità di gestione delle privilegi errato in GitHub Enterprise Server è stata identificata che permetteva a un attaccante di utilizzare il token di download di Enterprise Actions per recuperare dati da repository privati. L’attaccante avrebbe richiesto un account sul server con impostazioni non standard per GitHub Connect. Questa vulnerabilità ha colpito tutte le versioni di GitHub Enterprise Server prima di 3.12 e è stata corretta in versioni 3.8.16, 3.9.11, 3.10.8, e 3.11.6. Questa vulnerabilità è stata segnalata tramite il programma di Bounty per bug di GitHub.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://docs.github.com/en/[email protected]/admin/release-notes/#3.8.16
- https://docs.github.com/en/[email protected]/admin/release-notes/#3.9.11
- https://https://docs.github.com/en/[email protected]/admin/release-notes#3.10.8
- https://https://docs.github.com/en/[email protected]/admin/release-notes#3.11.16
Prodotti interessati
- GitHub – Enterprise Server
Relazioni con altri prodotti
Produttore:GitHub
Prodotto: Enterprise Server
Anno: 2024
CWE: CWE-269
CVSS: 0.0