GitHub Enterprise Server es una plataforma de colaboración y gestión de código fuente diseñada para equipos y organizaciones que requieren un control y seguridad avanzados en su desarrollo de software. Se implementa en un entorno privado, permitiendo a las empresas mantener su código y datos en sus propias infraestructuras. GitHub Enterprise Server ha identificado y corregido dos vulnerabilidades críticas que pueden comprometer la seguridad de sus usuarios.
- CVE-2024-9487 (CVSS 9.5): Esta vulnerabilidad se basa en la verificación incorrecta de la firma criptográfica en GitHub Enterprise Server, que podría permitir el aprovisionamiento y acceso de usuarios no autorizados a través de la omisión de la autenticación SSO de SAML. Para explotar esta vulnerabilidad, se requiere que la función de «aserciones cifradas» esté habilitada, acceso directo a la red y un documento de respuesta SAML firmado.
Productos y versiones afectadas:
- Todas las versiones de GitHub Enterprise Server anteriores a la 3.15 (inclusive)
Solución:
- Actualizar a versiones 3.11.16, 3.12.10, 3.13.5 y 3.14.2.
Recomendaciones:
- Actualizar a la versión más reciente de GitHub Enterprise Server.
- Implementar medidas de seguridad adicionales para proteger la red del acceso no autorizado.
Referencias: