首頁 > 安全研究 > 安全通報 > 安全通告

GitHub Enterprise Server遠程代碼執行漏洞(CVE-2021-22864)

發布時間 2021-03-24

0x00 漏洞概述

CVE  ID

CVE-2021-22864

時   間

2021-03-24

類   型

 RCE

等    級

高危

遠程利用

影響范圍

GitHub Enterprise Server < 3.0.3

PoC/EXP

未公開

在野利用


 

0x01 漏洞詳情

image.png

 

GitHub Enterprise是針對 Enterprise Cloud 和 Enterprise Server 的統一產品,允許組織自行配置基于云端或者自建的 GitHub。

2021年03月23日,GitHub 官方發布安全公告,公開了GitHub Enterprise Server中的一個遠程代碼執行漏洞(CVE-2021-22864)。由于GitHub Pages 使用的用戶控制配置選項沒有受到足夠的限制,使其有可能覆蓋環境變量,導致攻擊者在 GitHub Enterprise Server 實例上執行代碼。擁有在GitHub Enterprise Server實例上創建和構建GitHub Pages站點權限的攻擊者才能利用此漏洞。

 

 

0x02 處置建議

目前官方已修復了此漏洞,建議及時更新至GitHub Enterprise Server 3.0.3、2.22.9或2.21.17。

下載鏈接:

https://enterprise.github.com/releases/3.0.3/download

 

 

0x03 參考鏈接

https://docs.github.com/en/enterprise-server@3.0/admin/release-notes

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22864

https://nvd.nist.gov/vuln/detail/CVE-2021-22864

 

0x04 時間線

2021-03-23  GitHub發布安全公告

2021-03-24  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇