「GitHub Enterprise Server」に脆弱性 - 管理者権限奪われるおそれ

GitHubは現地時間8月20日、「GitHub Enterprise Server（GHES）」のセキュリティアップデートをリリースした。複数の脆弱性を修正している。

脆弱性によって影響を受けるバージョンは異なるが、バグバウンティを通じて報告された3件の脆弱性に対処している。

特定のアイデンティティプロバイダを使用した「SAML認証」に脆弱性「CVE-2024-6800」が判明した。「SAML応答」を偽造し、管理者権限を持つアカウントを作成したり、管理者権限でアクセスすることが可能になるという。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.5」、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

このほか、認可において正しく処理しない脆弱性「CVE-2024-6337」「CVE-2024-7711」が明らかとなっている。いずれも重要度は「中（Medium）」とした。

同社では、脆弱性を修正した「同3.13.3」「同3.12.8」「同3.11.14」「同3.10.16」をリリース。利用者にアップデートを呼びかけている。

（Security NEXT - 2024/08/21 ） ツイート

PR

関連記事

「PTXシリーズ」搭載の「Junos OS Evolved」に深刻な脆弱性
先週注目された記事（2026年2月22日〜2026年2月28日）
廃棄PCや内蔵SSDが所在不明、内部に個人情報 - JR仙台病院
複数企業向けの同報メールで誤送信、件名にメアド - 佐賀県
再々委託先で記録媒体が所在不明、顧客情報含む可能性 - みずほ銀
ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令
UIライブラリ「Swiper」に深刻な脆弱性 - 利用アプリは注意
ウェブメール「Roundcube」の脆弱性2件が攻撃の標的に
フィッシングサイトの撲滅競技 - 2週間で2828件をテイクダウン
第三者がファイル共有サーバにアクセス、情報流出の可能性 - 道路工業