GitHub - CVE-2024-2469

Date de publication : 22/03/2024

Un défaut de contrôle des données envoyées par les utilisateurs depuis la console de gestion de GitHub Enterprise Server permet à un attaquant avec des privilèges Administrateur, en exécutant du code arbitraire à distance, d’obtenir un accès SSH avec les droits root sur le serveur.

CVE-2024-2469

[Score CVSS v3.1: 8.0]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire
Élévation de privilèges
Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-20: Improper Input Validation

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur privilégié
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Github Enterprise Server :

Versions 3.8.x antérieures à 3.8.17
Versions 3.9.x antérieures à 3.9.12
Versions 3.10.x antérieures à 3.10.9
Versions 3.11.x antérieures à 3.11.7
Version 3.12.0

Solutions ou recommandations

Mettre à jour GitHub Enterprise Server vers la version 3.8.17, 3.9.12, 3.10.9, 3.11.7, 3.12.1 ou ultérieure.

Des informations complémentaires sont disponibles dans les bulletins 3.8.17, 3.9.12, 3.10.9, 3.11.7 et 3.12.1 de GitHub.