検出

GitHub Enterprise 3.10.x < 3.10.6 / 3.11.x < 3.11.14 / 3.12.x < 3.12.8 / 3.13.x < 3.13.3 (ghsa_75w9_x6cm_hvwg)

medium Nessus プラグイン ID 208085

Language:

概要

リモートホストにセキュリティ更新がありません。

説明

リモートホストにインストールされている GitHub Enterprise のバージョンは、3.10.6、3.11.14、3.12.8、3.13.3 より前です。したがって、ghsa_75w9_x6cm_hvwg のアドバイザリに記載されている脆弱性の影響を受けます。

 - GitHub Enterprise Server で不適切な認証の脆弱性が特定され、コンテンツのみを持つ GitHub アプリケーション: read と pull_request_write: write のアクセス許可がプライベートリポジトリ内の問題コンテンツを読み取る可能性があります。これはユーザーアクセストークンを介してのみ悪用可能であり、インストールアクセストークンは影響を受けませんでした。この脆弱性は、3.14 より前のすべてのバージョンの GitHub Enterprise Server に影響を与え、バージョン 3.13.3、3.12.8、3.11.14、および 3.10.16 で修正されました。この脆弱性は、GitHub Bug Bounty プログラムを通じて報告されました。(CVE-2024-6337)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

GitHub Enterprise 3.10.6 / 3.11.14 / 3.12.8 / 3.13.3 以降にアップグレードしてください。

参考資料

https://github.com/advisories/GHSA-75w9-x6cm-hvwg

http://www.nessus.org/u?043f097e

http://www.nessus.org/u?1508633e

http://www.nessus.org/u?60426543

http://www.nessus.org/u?1c9c7854

プラグインの詳細

深刻度: Medium

ID: 208085

ファイル名: github_enterprise_ghsa_75w9_x6cm_hvwg.nasl

バージョン: 1.2

タイプ: remote

ファミリー: CGI abuses

公開日: 2024/10/3

更新日: 2024/10/4

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N

CVSS スコアのソース: CVE-2024-6337

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:github:github_enterprise

必要な KB アイテム: installed_sw/GitHub Enterprise

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/8/20

脆弱性公開日: 2024/8/20

参照情報

CVE: CVE-2024-6337