Vulnerabilidad en GitHub Enterprise Server (CVE-2024-6336)
Severidad:
Pendiente de análisis
Type:
CWE-200
Revelación de información
Fecha de publicación:
16/07/2024
Última modificación:
17/07/2024
Descripción
Una vulnerabilidad de configuración incorrecta de seguridad en GitHub Enterprise Server permitió la divulgación de información confidencial a usuarios no autorizados en GitHub Enterprise Server mediante la explotación de la función de conjunto de reglas de la organización. Este ataque requirió que un miembro de la organización cambiara explícitamente la visibilidad de un repositorio dependiente de privado a público. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
Referencias a soluciones, herramientas e información
- https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.15
- https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.12
- https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.6
- https://docs.github.com/en/enterprise-server@3.13/admin/release-notes#3.13.1
- https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.17