Nueva Vulnerabilidad Descubierta en Github Enterprise Server

GitHub Enterprise Server es una plataforma de colaboración y gestión de código fuente diseñada para equipos y organizaciones que requieren un control y seguridad avanzados en su desarrollo de software. Se implementa en un entorno privado, permitiendo a las empresas mantener su código y datos en sus propias infraestructuras. GitHub Enterprise Server ha identificado y corregido dos vulnerabilidades críticas que pueden comprometer la seguridad de sus usuarios.

  • CVE-2024-9487 (CVSS 9.5): Esta vulnerabilidad se basa en la verificación incorrecta de la firma criptográfica en GitHub Enterprise Server, que podría permitir el aprovisionamiento y acceso de usuarios no autorizados a través de la omisión de la autenticación SSO de SAML. Para explotar esta vulnerabilidad, se requiere que la función de «aserciones cifradas» esté habilitada, acceso directo a la red y un documento de respuesta SAML firmado.

Productos y versiones afectadas:

  • Todas las versiones de GitHub Enterprise Server anteriores a la 3.15 (inclusive)

Solución:

  • Actualizar a versiones 3.11.16, 3.12.10, 3.13.5 y 3.14.2.

Recomendaciones:

  • Actualizar a la versión más reciente de GitHub Enterprise Server.
  • Implementar medidas de seguridad adicionales para proteger la red del acceso no autorizado.

Referencias: