文章预览
关键词 github GitHub 发布了针对 GitHub Enterprise Server 产品中三个安全缺陷的紧急修复程序,并警告称黑客可以利用其中一个缺陷获取网站管理员权限。 最严重的漏洞编号为CVE-2024-6800,该漏洞允许攻击者操纵 SAML SSO 身份验证来配置和/或获取具有站点管理员权限的用户帐户的访问权限。 该漏洞的 CVSS 严重性评分为 9.5/10,被描述为在使用特定身份提供者的 SAML 身份验证时 GitHub Enterprise Server (GHES) 中的 XML 签名包装错误。 安全公告显示:“此漏洞允许直接通过网络访问 GitHub Enterprise Server 的攻击者伪造 SAML 响应,以提供和/或获取具有站点管理员权限的用户的访问权限。利用此漏洞将允许未经授权访问实例,而无需事先进行身份验证。” GitHub 表示,该漏洞是通过其漏洞赏金计划私下报告的,影响GitHub Enterprise Server 3.14 之前的所有版本,并已在 3.13.3、3.12.8
………………………………
