【漏洞通告】GitHub Enterprise Server身份验证绕过漏洞（CVE-2024-9487）

文章预览

一、漏洞 概述 漏洞名称 GitHub Enterprise Server身份验证绕过漏洞 CVE   ID CVE-2024-9487 漏洞类型 加密签名验证不当 发现时间 2024-10-14 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 GitHub Enterprise Server (GHES)是一个用于企业内软件开发的自托管平台，团队可使用 GitHub Enterprise Server 通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。 2024年10月14日，启明星辰集团VSRC监测到GitHub Enterprise Server中修复了一个身份验证绕过漏洞（CVE-2024-9487），该漏洞的CVSS评分为9.5。 GitHub Enterprise Server的SAML单点登录（SSO）中的加密断言功能（可选功能，默认未启用）中存在不正确的加密签名验证漏洞，当目标实例启用了SAML SSO和加密断言功能时，能够直接网络访问目标GHES实例的攻击者可通 ………………………………