查看原文
其他

GitHub 企业服务器被曝高危 RCE 漏洞

GitHub 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


今天,GitHub 在官网上发布消息称,在 GitHub Enterprise Server 中发现一个远程代码执行漏洞,编号为 CVE-2021-22864。当构建 GitHub Pages 网站时即可利用该漏洞。

GitHub Pages 使用的受用户控制的配置选项由于限制不足,可能覆写环境变量,从而导致在 GitHub 企业服务器实例上执行代码。要利用该漏洞,攻击者需要获得在 GitHub Enterprise Server 实例上创建并构建GitHub Pages 网站的权限。

该漏洞影响 3.0.3 之前的版本,且在 3.0.3、2.22.9和2.21.17 版本中修复。该漏洞通过 GitHub 漏洞奖励计划报告。



推荐阅读
通过开放重定向接管 GitHub Gist 账户,获奖$1万(GitHub $6.1万奖金系列之三)
GitHub 源代码疑遭泄漏



参考链接

https://docs.github.com/en/enterprise-server@2.21/admin/release-notes#2.21.17


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存