Informazioni sul CVE-2024-3646
Command injection vulnerability was identified in GitHub Enterprise Server that allowed privilege escalation in the Management Console
CWE ID: CWE-20
Base Score (CVSS): N/A
CVE: CVE-2024-3646
Descrizione: Una vulnerabilità di iniezione di comandi è stata identificata in GitHub Enterprise Server che permetteva a un attaccante con il ruolo di amministratore nella Console di Gestione di accedere in modo sicuro all’istanza del server quando configurava l’integrazione chat. L’esfiltrazione di questa vulnerabilità richiedeva l’accesso all’istanza di GitHub Enterprise Server e all’accesso alla Console di Gestione di amministratore con il ruolo. Questa vulnerabilità interessava tutte le versioni di GitHub Enterprise Server precedenti a 3.12 e è stata corretta in versioni 3.12.2, 3.11.8, 3.10.10 e 3.9.13. Questa vulnerabilità è stata segnalata tramite il programma Bug Bounty di GitHub.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | H | High | Richiede privilegi elevati. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://docs.github.com/en/[email protected]/admin/release-notes#3.9.13
- https://docs.github.com/en/[email protected]/admin/release-notes#3.10.10
- https://docs.github.com/en/[email protected]/admin/release-notes#3.11.8
- https://docs.github.com/en/[email protected]/admin/release-notes#3.12.2
Prodotti interessati
- GitHub – Enterprise Server
Relazioni con altri prodotti
Produttore:GitHub
Prodotto: Enterprise Server
Anno: 2024
CWE: CWE-20
CVSS: 0.0