S'inscrire

Cybersécurité - 16/10/2024

GitHub corrige une faille critique dans Enterprise Server qui permet un accès non autorisé aux instances

Hacker utilisant un outil de cybersécurité

GitHub a publié des mises à jour de sécurité pour Enterprise Server (GHES) afin de résoudre plusieurs problèmes, notamment un bogue critique qui pourrait permettre un accès non autorisé à une instance.

La vulnérabilité, identifiée comme CVE-2024-9487, porte un score CVS de 9,5 sur un maximum de 10,0

« Un attaquant pourrait contourner l’authentification unique (SSO) SAML avec la fonction facultative d’assertions chiffrées, permettant ainsi le provisionnement non autorisé des utilisateurs et l’accès à l’instance, en exploitant une vulnérabilité de vérification incorrecte des signatures cryptographiques dans GitHub Enterprise Server », a déclaré GitHub dans une alerte.

La société appartenant à Microsoft a caractérisé la faille comme une régression introduite dans le cadre de la correction de suivi de CVE-2024-4985 (score CVSS : 10,0), une vulnérabilité de gravité maximale qui a été corrigée en mai 2024.

GitHub a également corrigé deux autres défauts :

  • CVE-2024-9539 (score CVSS : 5,7) – Une vulnérabilité de divulgation d’informations qui pourrait permettre à un attaquant de récupérer des métadonnées appartenant à un utilisateur victime en cliquant sur des URL malveillantes pour des ressources SVG
  • Une exposition de données sensibles dans les formulaires HTML de la console de gestion (pas de CVE)

Les trois vulnérabilités de sécurité ont été corrigées dans les versions 3.14.2, 3.13.5, 3.12.10 et 3.11.16 d’Enterprise Server.

En août, GitHub a également corrigé un défaut de sécurité critique (CVE-2024-6800, score CVSS : 9,5) qui pouvait être exploité pour obtenir des privilèges d’administrateur de site.

Il est fortement conseillé aux organisations qui exécutent une version auto-hébergée vulnérable de GHES de mettre à jour vers la dernière version pour se protéger contre les menaces de sécurité potentielles.

Sujets récents