[TLP:CLEAR] GitHub Enterprise Server opravuje 2 zraniteľnosti
GitHub verziami 3.21.2, 3.20.4, 3.19.8, 3.18.11, 3.17.17, 3.16.20 opravuje 2 zraniteľnosti v produkte GitHub Enterprise Server [1][2].
Autentizovanému vzdialenému útočníkovi je v nadpise diskusie v kategórii Q&A umožnené vykonať stored XSS útok [1].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>=3.21.0 AND <3.21.2) OR (>=3.20.0 AND <3.20.4) OR (>=3.19.0 AND <3.19.8) OR (>=3.18.0 AND <3.18.11) OR (>=3.17.0 AND <3.17.17) OR (>=3.16.0 AND <3.16.20).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:H/SI:H/SA:N
Viac informácií:
- CVE-2026-10585 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 1. 7. 2026.
Autentizovanému vzdialenému útočníkovi s prístupovým tokenom viazaným na inštaláciu GitHub App je umožnené neoprávnene vytvárať obsah (ako napr. "issues" a "comments") na ľubovolných verejných repozitároch mimo rozsahu povolených prístupov tokenu [2].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>=3.21.0 AND <3.21.2) OR (>=3.20.0 AND <3.20.4) OR (>=3.19.0 AND <3.19.8) OR (>=3.18.0 AND <3.18.11) OR (>=3.17.0 AND <3.17.17) OR (>=3.16.0 AND <3.16.20).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-14340 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 1. 7. 2026.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 2. 7. 2026.