Github Enterprise Server: Sicherheitslücke verleiht Angreifern Admin-Zugriff

22. Mai 2024, 10:54 |  0 Kommentare

Die Schwachstelle betrifft alle GHES-Versionen vor 3.13.0 und erreicht den größtmöglichen CVSS-Score von 10. Gefährdet sind Instanzen mit SAML-SSO-Authentifizierung.



Im Github Enterprise Server (GHES) klafft eine kritische Sicherheitslücke, die es Angreifern erlaubt, die Authentifizierung anfälliger Instanzen zu umgehen und sich einen Admin-Zugriff mit uneingeschränktem Zugang zu allen Inhalten zu verschaffen. Die Schwachstelle ist als CVE-2024-4985 registriert und erreicht mit einem maximal möglichen CVSS-Score von 10 den höchsten Schweregrad. Betroffen sind alle GHES-Versionen vor 3.13.0.

Damit die Sicherheitslücke ausgenutzt werden kann, muss auf der jeweiligen Zielinstanz die Authentifizierung via SAML-Single-Sign-On (SSO) aktiviert sein, zusammen mit der optionalen Encrypted-Assertions-Funktion. Laut Github kann ein Angreifer unter diesen Bedingungen eine gefälschte SAML-Antwort an den Server übermitteln und dadurch einen bestehenden Admin-Nutzer übernehmen oder einen solchen neu erstellen.

Mehr dazu findest Du auf golem.de





Kurze URL:


Bewertung: 3.0/5 (2 Stimmen)


Das könnte Dich auch interessieren:

Ähnliche News:

Weitere News:

Einen Kommentar schreiben

Du willst nicht als "Gast" schreiben? Logg Dich Hier ein.

Code:

Code neuladen

Kommentare
(0)

Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.




Kommentare:

Du hast bereits für diesen Kommentar abgestimmt...

;-)

Top