文章预览
一、漏洞 概述 漏洞名称 GitHub Enterprise Server身份验证绕过漏洞 CVE ID CVE-2024-4985 漏洞类型 身份验证绕过 发现时间 2024-05-22 漏洞评分 10.0 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 GitHub Enterprise Server (GHES)是一个用于企业内软件开发的自托管平台,团队可使用 GitHub
Enterprise Server 通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。 2024年5月22日,启明星辰集团VSRC监测到GitHub Enterprise Server中修复了一个身份验证绕过漏洞(CVE-2024-4985),该漏洞的CVSS评分为10.0。 GitHub Enterprise Server 多个受影响版本中存在身份验证绕过漏洞,在使用带有可选加密断言功能的SAML单点登录(SSO)身份验证的GHES实例上,威胁者可以伪造 SAML 响应,绕过身份验证机制并提供或获取站点管理员权限,
………………………………
