Katika masasisho ya marekebisho ya jukwaa la GitHub Enterprise Server 3.12.4, 3.11.10, 3.10.12 na 3.9.15, iliyokusudiwa kupeleka mazingira tofauti kwa maendeleo shirikishi kulingana na teknolojia za GitHub kwenye kifaa chako mwenyewe, hatari (CVE-2024). -4985) ilitambuliwa ambayo inaruhusu ufikiaji wa haki za msimamizi bila uthibitishaji. Tatizo hutokea tu katika usanidi wa kuingia mara moja unaotegemea SAML ambao umewasha madai yaliyosimbwa. Kwa chaguomsingi, hali hii imezimwa, lakini inawasilishwa kama kipengele cha ziada cha kuimarisha usalama, kilichoamilishwa katika mipangilio ya "Mipangilio/Uthibitishaji/Inahitaji madai yaliyosimbwa kwa njia fiche".
Athari imepewa kiwango muhimu cha ukali (10 kati ya 10). Akaunti haihitajiki kutekeleza shambulio. Maelezo kuhusu unyonyaji wa athari hiyo hayajatolewa, inatajwa tu kuwa shambulio hilo linafanywa kwa njia ya kughushi jibu la SAML Taarifa kuhusu kuathirika ilipatikana kutoka kwa mshiriki katika mpango wa GitHub Bug Bounty, ambao hulipa zawadi kwa kugundua usalama. matatizo.
Chanzo: opennet.ru
