漏洞标题
N/A
漏洞描述信息
GitHub Enterprise Server 的 tag protections UI 中的标签名称模式字段存在跨站脚本(Cross-site Scripting,XSS)漏洞。恶意网站需要用户交互和社会工程才能通过 CSP 拦截和创建的 CSRF 令牌修改用户的账户。此漏洞影响了 3.12 版本之前的所有 GitHub Enterprise Server 版本,并在所有 3.11.5、3.10.7、3.9.10 和 3.8.15 版本中得到修复。这个漏洞是通过 GitHub 的 Bug Bounty 计划报告的。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
N/A
漏洞描述信息
Cross-site Scripting in the tag name pattern field in the tag protections UI in GitHub Enterprise Server allows a malicious website that requires user interaction and social engineering to make changes to a user account via CSP bypass with created CSRF tokens. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.12 and was fixed in all versions of 3.11.5, 3.10.7, 3.9.10, and 3.8.15. This vulnerability was reported via the GitHub Bug Bounty program.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
GitHub Enterprise Server 安全漏洞
漏洞描述信息
GitHub Enterprise Server是美国GitHub开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。 GitHub Enterprise Server存在安全漏洞,该漏洞源于存在跨站脚本漏洞,允许通过CSP绕过来更改用户帐户。
CVSS信息
N/A
漏洞类别
其他