一、 漏洞 CVE-2024-9487 基础信息
漏洞标题
GitHub Enterprise Server的SAML SSO认证绕过漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在GitHub Enterprise Server中发现了一个由于不正确的加密签名验证漏洞,该漏洞允许绕过SAML单点登录认证,从而导致未经授权的用户配置和对实例的访问。利用该漏洞需要开启加密断言功能,并且攻击者需要具备直接的网络访问权限以及一个签名的SAML响应或元数据文档。此漏洞影响了所有3.15之前的版本,并已在版本3.11.16、3.12.10、3.13.5和3.14.2中修复。此漏洞是通过GitHub Bug Bounty计划报告的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
密码学签名的验证不恰当
来源:AIGC 神龙大模型
漏洞标题
An Improper Verification of Cryptographic Signature vulnerability was identified in GitHub Enterprise Server that allowed SAML SSO authentication to be bypassed when the encrypted assertions feature was enabled
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An improper verification of cryptographic signature vulnerability was identified in GitHub Enterprise Server that allowed SAML SSO authentication to be bypassed resulting in unauthorized provisioning of users and access to the instance. Exploitation required the encrypted assertions feature to be enabled, and the attacker would require direct network access as well as a signed SAML response or metadata document. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.15 and was fixed in versions 3.11.16, 3.12.10, 3.13.5, and 3.14.2. This vulnerability was reported via the GitHub Bug Bounty program.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
密码学签名的验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
GitHub Enterprise Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GitHub Enterprise Server是美国GitHub开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。 GitHub Enterprise Server存在安全漏洞,该漏洞源于存在加密签名验证不当的漏洞,允许绕过身份验证,从而导致未经授权的用户配置和实例访问。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-9487 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-9487 的情报信息