今天看啥  ›  专栏  ›  启明星辰安全简讯

【漏洞通告】GitHub Enterprise Server身份验证绕过漏洞(CVE-2024-9487)

启明星辰安全简讯  · 公众号  ·  · 2024-10-14 16:55
    

文章预览

一、漏洞 概述 漏洞名称 GitHub Enterprise Server身份验证绕过漏洞 CVE   ID CVE-2024-9487 漏洞类型 加密签名验证不当 发现时间 2024-10-14 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 GitHub Enterprise Server (GHES)是一个用于企业内软件开发的自托管平台,团队可使用 GitHub Enterprise Server 通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。 2024年10月14日,启明星辰集团VSRC监测到GitHub Enterprise Server中修复了一个身份验证绕过漏洞(CVE-2024-9487),该漏洞的CVSS评分为9.5。 GitHub Enterprise Server的SAML单点登录(SSO)中的加密断言功能(可选功能,默认未启用)中存在不正确的加密签名验证漏洞,当目标实例启用了SAML SSO和加密断言功能时,能够直接网络访问目标GHES实例的攻击者可通 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览