一、 漏洞 CVE-2024-2440 基础信息
漏洞标题
在GitHub Enterprise Server中识别出一个竞态条件,该条件允许维持管理员权限。
来源:AIGC 神龙大模型
漏洞描述信息
GitHub Enterprise Server 存在一个竞态条件漏洞,允许现有管理员在仓库脱离时通过执行 GraphQL 变更来保持对已脱离仓库的权限。此漏洞影响所有版本的 GitHub Enterprise Server,版本号低于 3.13。该漏洞已在版本 3.9.13、3.10.10、3.11.8 和 3.12.1 中得到修复。此漏洞是通过 GitHub 漏洞赏金计划报告的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
使用共享资源的并发执行不恰当同步问题(竞争条件)
来源:AIGC 神龙大模型
漏洞标题
Race Condition was identified in GitHub Enterprise Server that allowed maintaining admin permissions
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A race condition in GitHub Enterprise Server allowed an existing admin to maintain permissions on a detached repository by making a GraphQL mutation to alter repository permissions while the repository is detached. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.13 and was fixed in versions 3.9.13, 3.10.10, 3.11.8 and 3.12.1. This vulnerability was reported via the GitHub Bug Bounty program.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:H/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
检查时间与使用时间(TOCTOU)的竞争条件
来源:美国国家漏洞数据库 NVD
漏洞标题
GitHub Enterprise Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GitHub Enterprise Server是美国GitHub开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。 GitHub Enterprise Server 3.13之前版本存在安全漏洞,该漏洞源于存在竞争条件,攻击者可以通过GraphQL突变来更改存储库权限。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-2440 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-2440 的情报信息