Во корективните ажурирања на платформата GitHub Enterprise Server 3.12.4, 3.11.10, 3.10.12 и 3.9.15, наменети за распоредување на посебна средина за заеднички развој заснована на технологиите GitHub на вашата опрема, ранливост (CVE-2024 -4985) беше идентификуван што овозможува да се добие пристап со администраторски права без автентикација. Проблемот се јавува само во конфигурации за единечно најавување базирани на SAML кои имаат овозможени шифрирани тврдења. Стандардно, овој режим е оневозможен, но е претставен како дополнителна функција за подобрување на безбедноста, активирана во поставките „Поставки/Автентикација/Бараат шифрирани тврдења“.
На ранливоста и е доделено критично ниво на сериозност (10 од 10). Не е потребна сметка за да се изврши напад. Детали за искористување на ранливоста не се дадени, само се споменува дека нападот е извршен преку фалсификување на одговор SAML Информациите за ранливоста се добиени од учесник во програмата GitHub Bug Bounty, која плаќа награди за откривање безбедност. проблеми.
Извор: opennet.ru
