Informazioni sul CVE-2024-2440

Race Condition was identified in GitHub Enterprise Server that allowed maintaining admin permissions

CWE ID: CWE-367

Base Score (CVSS): N/A

CVE: CVE-2024-2440

Descrizione: Una condizione di race in GitHub Enterprise Server ha permesso a un amministratore esistente di mantenere le autorizzazioni su un repository non legato da un repository tramite una mutazione GraphQL per modificare le autorizzazioni. Questa vulnerabilità interessava tutte le versioni di GitHub Enterprise Server prima del 3.13 e è stata corretta in versioni 3.9.13, 3.10.10, 3.11.8 e 3.12.1. Questa vulnerabilità è stata segnalata tramite il programma di Bounty per i Bug.

Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:H/A:L

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 5.4 (Medium)

Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: Low, Integrità: High, Disponibilità: Low.

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione
Attack Vector (AV)	N	Network	L’attacco può essere eseguito da remoto attraverso la rete.
Attack Complexity (AC)	H	High	L’attacco richiede condizioni particolari o avanzate.
Privileges Required (PR)	H	High	Richiede privilegi elevati.
User Interaction (UI)	N	None	Non è richiesta interazione dell’utente.
Scope (S)	U	Unchanged	Il raggio d’azione non cambia.
Confidentiality Impact (C)	L	Low	Impatto limitato.
Integrity Impact (I)	H	High	Grave impatto sull’integrità.
Availability Impact (A)	L	Low	Interferenza limitata.

Riferimenti esterni

Prodotti interessati

GitHub – Enterprise Server

Relazioni con altri prodotti

Produttore:GitHub
Prodotto: Enterprise Server
Anno: 2024
CWE: CWE-367
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)