漏洞描述:
GitHub Enterprise Server 是一个用于企业内软件开发的自托管平台,团队可使用GitHub Enterprise Server通过Git版本控制、强大的 API、生产力和协作工具以及集成来构建和发布软件,近日监测到GitHub Enterprise Server中修复了一个命令注入漏洞(CVE-2024-2443),该漏洞的CVSS评分为9.1。
GitHub Enterprise Server多个受影响版本中存在命令注入漏洞,能够访问 GitHub Enterprise Server实例并在管理控制台中具有编辑者角色的威胁者可以在配置GeoJSON 设置时通过命令注入获得对实例的SSH访问权限,此外,GitHub Enterprise Server多个受影响版本中还修复了一个输入验证不当漏洞(CVE-2024-2469,CVSS评分8.0),在 GitHub Enterprise Server中具有管理员角色的威胁者可以通过远程代码执行获得SSH root访问权限。
影响范围:
GitHub Enterprise Server 3.8版本< 3.8.17
GitHub Enterprise Server 3.9版本< 3.9.12
GitHub Enterprise Server 3.10版本< 3.10.9
GitHub Enterprise Server 3.11版本< 3.11.7
GitHub Enterprise Server 3.12版本< 3.12.1
安全措施:
升级版本
目前这些漏洞已经修复,受影响用户可升级到GitHub Enterprise Server 版本3.8.17、3.9.12、3.10.9、3.11.7 或3.12.1
下载链接:
https://enterprise.github.com/releases/3.12.1/download
临时措施:
暂无
参考链接:
https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.9
