一、 漏洞 CVE-2024-1355 基础信息
漏洞标题
我们发现GitHubEnterpriseServer存在命令注入漏洞,可以从管理控制台进行权限提升。 : :
来源:AIGC 神龙大模型
漏洞描述信息
GitHub Enterprise Server中存在一个命令注入漏洞,攻击者如果在管理控制台中拥有编辑器角色,就可以利用这个漏洞通过actions-console docker容器设置服务URL,从而获取到设备的管理员SSH访问权限。利用此漏洞需要访问到受影响的GitHub Enterprise Server实例,并且在管理控制台上具有编辑器角色。该漏洞影响了所有在3.12之前发布的GitHub Enterprise Server版本,并在3.11.5、3.10.7、3.9.10和3.8.15等多个版本中得到了修复。此漏洞是通过GitHub的Bug Bounty程序提交报告的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:AIGC 神龙大模型
漏洞标题
Command injection vulnerability was identified in GitHub Enterprise Server that allowed privilege escalation in the Mangement Console
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A command injection vulnerability was identified in GitHub Enterprise Server that allowed an attacker with an editor role in the Management Console to gain admin SSH access to the appliance via the actions-console docker container while setting a service URL. Exploitation of this vulnerability required access to the GitHub Enterprise Server instance and access to the Management Console with the editor role. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.12 and was fixed in versions 3.11.5, 3.10.7, 3.9.10, and 3.8.15. This vulnerability was reported via the GitHub Bug Bounty program.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
GitHub Enterprise Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GitHub Enterprise Server是美国GitHub开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。 GitHub Enterprise Server存在安全漏洞,该漏洞源于存在命令注入漏洞,允许具有编辑者角色的攻击者获得对设备的管理员SSH访问权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-1355 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-1355 的情报信息