O GitHub Enterprise, a versão local do GitHub.com, foi projetado para facilitar a colaboração entre grandes equipes de desenvolvimento de software empresarial.
Em junho, William Bowling, desenvolvedor de software e pesquisador de segurança baseado na Austrália, informou ao GitHub por meio de seu programa de recompensa de bug que havia identificado uma vulnerabilidade potencialmente séria. A exploração bem-sucedida pode ter permitido que um invasor substituísse arquivos arbitrários com conteúdo malicioso, o que poderia resultar na execução arbitrária de comandos em instâncias do Enterprise Server.
A exploração da vulnerabilidade em instâncias do Enterprise Server envolveu a injeção de argumentos maliciosos por meio de opções de comando git.
Embora em si seja uma vulnerabilidade séria, a própria equipe de segurança do Bowling e do GitHub não conseguiu encontrar uma maneira de explorá-la em um cenário do mundo real devido a um mecanismo de proteção contra falsificação de solicitação entre sites (CSRF) implementado pela empresa.
“Para explorar esta vulnerabilidade, um invasor precisaria de permissão para acessar repositórios dentro da instância do GitHub Enterprise Server. No entanto, devido a outras proteções em vigor, não foi possível identificar uma maneira de explorar ativamente essa vulnerabilidade ”, explicou o GitHub.
No entanto, o GitHub avaliou que esta era uma vulnerabilidade séria e decidiu conceder uma recompensa por bug de $ 20.000, Bowling diz . Esta é a maior recompensa que o GitHub oferece para falhas de alta gravidade.
A vulnerabilidade foi corrigida em agosto com o lançamento do GitHub Enterprise 2.21.4, que também corrige uma vulnerabilidade crítica de execução remota de código identificada nas páginas do GitHub.
O GitHub, que pertence à Microsoft, disse no início deste ano que pagou um total de mais de US $ 1 milhão por meio de seu programa de recompensa por bug no HackerOne. A empresa anunciou no ano passado que não haveria limite máximo para recompensas por vulnerabilidade crítica.
Fonte: https://www.securityweek.com/serious-vulnerability-github-enterprise-earns-researcher-20000
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…