Eine schwerwiegende Sicherheitslücke mit der Kennung CVE-2024-5746 wurde in GitHub Enterprise Server identifiziert. Diese Server-Side Request Forgery (SSRF) Schwachstelle ermöglichte es einem Angreifer mit der Rolle des Site-Administrators, beliebigen Code auf der GitHub Enterprise Server-Instanz auszuführen.
Die Schwachstelle betrifft alle Versionen von GitHub Enterprise Server vor Version 3.13. Ein Angreifer musste authentifizierten Zugang als Benutzer mit Site-Administrator-Rechten besitzen, um diese Sicherheitslücke auszunutzen. Durch diese SSRF-Schwachstelle konnte der Angreifer Anfragen an interne Systeme stellen und dadurch beliebigen Code auf dem Server ausführen.
Die folgenden Versionen von GitHub Enterprise Server sind von der Schwachstelle betroffen:
GitHub hat die Sicherheitslücke in den folgenden Versionen behoben:
- 3.12.5
- 3.11.11
- 3.10.13
- 3.9.16
Administratoren von GitHub Enterprise Server-Instanzen sollten dringend auf eine der oben genannten Versionen aktualisieren, um die Sicherheitslücke zu schließen und ihre Systeme zu schützen.
Die Sicherheitslücke wurde über das GitHub Bug Bounty-Programm gemeldet. Dank dieses Programms können Sicherheitsforscher und ethische Hacker Schwachstellen in GitHub-Produkten identifizieren und melden, bevor sie von böswilligen Akteuren ausgenutzt werden.
Es wird dringend empfohlen, dass alle Benutzer von GitHub Enterprise Server ihre Systeme so schnell wie möglich auf die neuesten Versionen aktualisieren. Die Veröffentlichung der Updates zeigt das Engagement von GitHub, die Sicherheit ihrer Plattform zu gewährleisten und die Integrität der von ihnen gehosteten Projekte zu schützen.
Für weitere Informationen und Unterstützung beim Update-Prozess sollten Benutzer die offiziellen GitHub-Dokumentationen und Support-Kanäle konsultieren und einen Blick auf CVE-2024-5746 werfen.
