【漏洞通告】GitHub Enterprise Server身份验证绕过漏洞（CVE-2024-4985）

文章预览

一、漏洞 概述 漏洞名称 GitHub Enterprise Server身份验证绕过漏洞 CVE   ID CVE-2024-4985 漏洞类型 身份验证绕过 发现时间 2024-05-22 漏洞评分 10.0 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 GitHub Enterprise Server (GHES)是一个用于企业内软件开发的自托管平台，团队可使用 GitHub Enterprise Server 通过Git版本控制、强大的API、生产力和协作工具以及集成来构建和发布软件。 2024年5月22日，启明星辰集团VSRC监测到GitHub Enterprise Server中修复了一个身份验证绕过漏洞（CVE-2024-4985），该漏洞的CVSS评分为10.0。 GitHub Enterprise Server 多个受影响版本中存在身份验证绕过漏洞，在使用带有可选加密断言功能的SAML单点登录（SSO）身份验证的GHES实例上，威胁者可以伪造 SAML 响应，绕过身份验证机制并提供或获取站点管理员权限， ………………………………