官方强烈建议更新，关键漏洞影响GitHub Enterprise Server所有版本

文章预览

近日，GitHub Bug Bounty 计划报告了一个影响 GitHub Enterprise Server（GHES）当前所有支持版本的关键漏洞（CVE-2024-6800），该漏洞可能允许攻击者获得对该实例内容的无限制访问。目前，漏洞已经解决，强烈建议管理员尽快更新，以确保系统安全。 关于 CVE-2024-6800 GitHub Enterprise Server 是一个自托管的软件开发平台，通常是为了遵守需要对代码仓库有更多控制/安全性的特定法规。 它以自包含的虚拟设备形式出现，安装在虚拟机上，运行 Linux 操作系统并配备自定义的应用程序堆栈。 根据软件的发布说明，CVE-2024-6800 是一个 XML 签名包装漏洞，允许攻击者绕过身份验证，但只有在实例使用 SAML 单点登录（SSO）认证，并且与使用公开暴露的签名联合元数据 XML 的特定身份提供者结合。 该漏洞允许具有对 GitHub Enterprise Server 直接网络访问权限的攻击者伪造 SAML 响应， ………………………………