[TLP:CLEAR] GitHub Enterprise Server opravuje 4 zranitelnosti
GitHub verziami 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 a 3.19.3 opravuje 4 zraniteľnosti v produkte GitHub Enterprise Server [1][2][3][4].
Autentizovanému vzdialenému útočníkovi s oprávneniami na zápis do repozitára (push access) je v dôsledku nedostatočnej kontroly vstupov umožnené spustiť kód na inštancii [1].
Zraniteľnosť sa nachádza v produkte Github Enterprise Server Versions vo verziách (<3.14.24) OR (>=3.15.0 AND <3.15.19) OR (>=3.16.0 AND <3.16.15) OR (>=3.17.0 AND <3.17.12) OR (>=3.18.0 AND <3.18.6) OR (>=3.19.0 AND <3.19.3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-3854 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 3. 2026.
Autentizovanému vzdialenému útočníkovi je v dôsledku nedostatočnej kontroly obsahu v zoznamoch úloh umožnené vykonať XSS útok v prehliadači iného používateľa [2].
Zraniteľnosť sa nachádza v produkte Github Enterprise Server vo verziách (<3.18.6) OR (>=3.19.0 AND <3.19.3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-2266 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 3. 2026.
Autentizovanému vzdialenému útočníkovi s oprávneniami na čítanie repozitára je umožnené obísť proces overovania a neoprávnene upravovať sprievodné údaje v požiadavkách a návrhoch na zmeny, ktoré sú súčasťou projektov [3].
Zraniteľnosť sa nachádza v produkte Github Enterprise Server vo verziách (<3.14.24) OR (>=3.15.0 AND <3.15.19) OR (>=3.16.0 AND <3.16.15) OR (>=3.17.0 AND <3.17.12) OR (>=3.18.0 AND <3.18.6) OR (>=3.19.0 AND <3.19.3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-3306 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 3. 2026.
Autentizovanému vzdialenému útočníkovi je v dôsledku ignorovania nastavených obmedzení prístupových tokenov (PAT) v API rozhraní umožnené neoprávnene čítať požiadavky a históriu zmien v súkromných repozitároch [4].
Zraniteľnosť sa nachádza v produkte Github Enterprise Server vo verziách (<3.16.15) OR (>=3.17.0 AND <3.17.12) OR (>=3.18.0 AND <3.18.6) OR (>=3.19.0 AND <3.19.3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-3582 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 10. 3. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 17. 3. 2026.
