22 de agosto de 2024Ravie LakshmananSoftware empresarial / Vulnerabilidad GitHub ha publicado correcciones para abordar un conjunto de tres fallas de seguridad que afectan a su producto Enterprise Server, incluido un error crítico que podría usarse de forma abusiva para obtener privilegios de administrador del sitio. A la más grave de las deficiencias se le ha asignado el identificador CVE CVE-2024-6800 y tiene una puntuación CVSS de 9,5. «En las instancias de GitHub Enterprise Server que utilizan la autenticación de inicio de sesión único (SSO) SAML con IdP específicos que utilizan XML de metadatos de federación firmados expuestos públicamente, un atacante podría falsificar una respuesta SAML para aprovisionar y/o obtener acceso a una cuenta de usuario con privilegios de administrador del sitio», dijo GitHub en un aviso. La subsidiaria propiedad de Microsoft también ha abordado un par de fallas de gravedad media: CVE-2024-7711 (puntuación CVSS: 5,3): una vulnerabilidad de autorización incorrecta que podría permitir a un atacante actualizar el título, los asignados y las etiquetas de cualquier problema dentro de un repositorio público. CVE-2024-6337 (puntuación CVSS: 5,9): una vulnerabilidad de autorización incorrecta que podría permitir a un atacante acceder al contenido de un problema desde un repositorio privado utilizando una aplicación de GitHub con solo contenidos: permisos de lectura y solicitudes de extracción: permisos de escritura. Las tres vulnerabilidades de seguridad se han abordado en las versiones 3.13.3, 3.12.8, 3.11.14 y 3.10.16 de GHES. En mayo, GitHub también parcheó una vulnerabilidad de seguridad crítica (CVE-2024-4985, puntuación CVSS: 10,0) que podría permitir el acceso no autorizado a una instancia sin requerir autenticación previa. Se recomienda encarecidamente a las organizaciones que utilizan una versión vulnerable alojada en su propio servidor de GHES que actualicen a la última versión para protegerse contra posibles amenazas de seguridad. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.