[TLP:CLEAR] GitHub Enterprise Server opravuje 6 zraniteľností
GitHub verziami 3.21, 3.20.1, 3.19.5, 3.18.8, 3.17.14, 3.16.17, 3.15.21 a 3.14.26 opravuje 6 zraniteľností v produkte GitHub Enterprise Server [1][2][3][4][5][6].
Autentizovanému lokálnemu útočníkovi je v rámci mechanizmu autorizácie používateľských tokenov umožnené získať neoprávnený prístup k súkromným repozitárom vrátane možnosti v nich vykonávať zápis nad rámec pridelených oprávnení [1].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>=3.20.0 AND < 3.20.1) OR (>=3.19.0 AND <3.19.5) OR (>=3.18.0 AND <3.18.8) OR (>=3.17.0 AND <3.17.14) OR (>=3.16.0 AND <3.16.17) OR (>=3.15.0 AND <3.15.21) OR (>=3.14.0 AND <3.14.26).
CVSS: CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:L/SI:L/SA:N
Viac informácií:
- CVE-2026-5845 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-639: Authorization Bypass Through User-Controlled Key at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 4. 2026.
Neautentizovanému vzdialenému útočníkovi je pri vypnutom súkromnom režime umožnené vykonať SSRF útok v kombinácii s útokom cez postranný časový kanál a neoprávnene extrahovať citlivé premenné prostredia z interných služieb inštancie [2].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>= 3.14.0 AND < 3.14.26) OR (>= 3.15.0 AND < 3.15.21) OR (>= 3.16.0 AND < 3.16.17) OR (>= 3.17.0 AND < 3.17.14) OR (>= 3.18.0 AND < 3.18.8) OR (>= 3.19.0 AND < 3.19.5) OR (>= 3.20.0 AND < 3.20.1).
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/E:P
Viac informácií:
- CVE-2026-5921 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 4. 2026.
Autentizovanému lokálnemu útočníkovi s oprávneniami administrátora Management Console je umožnené spúšťať ľubovoľné príkazy v operačnom systéme servera vložením špeciálnych shell metaznakov do polí pre nastavenie proxy [3].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>= 3.14.0 AND < 3.14.26) OR (>= 3.15.0 AND < 3.15.21) OR (>= 3.16.0 AND < 3.16.17) OR (>= 3.17.0 AND < 3.17.14) OR (>= 3.18.0 AND < 3.18.8) OR (>= 3.19.0 AND < 3.19.5) OR (>= 3.20.0 AND < 3.20.1).
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N
Viac informácií:
- CVE-2026-4821 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 4. 2026.
Odkazy
- [1] https://github.com/advisories/GHSA-29qm-pmxx-2p86
- [2] https://github.com/advisories/GHSA-2gr8-2hf5-x695
- [3] https://github.com/advisories/GHSA-6hg9-m8fv-wq83
- [4] https://github.com/advisories/GHSA-9mpg-26vj-7vx3
- [5] https://github.com/advisories/GHSA-28fv-vpxc-gmp4
- [6] https://github.com/advisories/GHSA-mcp7-23p7-2v34
Za CESNET-CERTS Henrieta Paločková dňa 7. 5. 2026.
