漏洞标题
GitHub Pages中的不安全配置选项,可能导致GitHub Enterprise Server上的远程代码执行
漏洞描述信息
在 GitHub Enterprise Server 中发现了一个远程代码执行漏洞,该漏洞可能在构建 GitHub Pages 站点时被利用。GitHub Pages 使用的底层解析器的用户可控制配置未受到充分限制,从而可能导致在 GitHub Enterprise Server 实例上执行命令。为了利用这个漏洞,攻击者需要在 GitHub Enterprise Server 实例上创建和构建 GitHub Pages 站点的权限。此漏洞影响所有版本的 GitHub Enterprise Server,直到 2.22,并已在 2.21.6、2.20.15 和 2.19.21 中得到修复。导致此漏洞的底层问题既通过内部识别,也通过 GitHub 安全漏洞赏金计划识别。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Unsafe configuration options in GitHub Pages leading to remote code execution on GitHub Enterprise Server
漏洞描述信息
A remote code execution vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server prior to 2.22 and was fixed in 2.21.6, 2.20.15, and 2.19.21. The underlying issues contributing to this vulnerability were identified both internally and through the GitHub Security Bug Bounty program.
CVSS信息
N/A
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
漏洞标题
GitHub Enterprise Server 注入漏洞
漏洞描述信息
GitHub是一套面向开源及私有软件项目的托管平台。Git是一套免费、开源的分布式版本控制系统。 GitHub Enterprise Server存在安全漏洞,该漏洞源于GitHub页面使用的底层解析器的用户控制配置没有足够的访问控制权限,因此可以在GitHub企业服务器实例上执行命令。具体受影响的环境如下:GitHub Enterprise Server 2.22之前版本,其中2.21.6,2.20.15和2.19.21已修复。
CVSS信息
N/A
漏洞类别
注入