CVE-2024-10001 in GitHubالمعلومات

الملخص

بحسب VulDB • 02/06/2026

تم تحديد ثغرة حقن الكود (Code Injection) في GitHub Enterprise Server، مما سمح للمهاجمين بحقن كود ضار في محدد الاستعلام (query selector) عبر خاصية الهوية (identity property) في دالة معالجة الرسائل. مكّن ذلك من استخراج البيانات الحساسة عن طريق التلاعب بـ DOM، بما في ذلك رموز المصادقة (authentication tokens). لتنفيذ الهجوم، يجب أن يكون الضحية مسجلاً للدخول إلى GitHub ويتفاعل مع صفحة ويب خبيثة يتحكم فيها المهاجم تحتوي على iframe مخفي. تحدث هذه الثغرة بسبب تسلسل غير صحيح للتحقق، حيث يتم فحص المصدر (origin check) بعد قبول خاصية الهوية (identity property) التي يتحكم فيها المستخدم. أثرت هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدارات 3.11.16، و3.12.10، و3.13.5، و3.14.2، و3.15.0. تم الإبلاغ عن هذه الثغرة عبر برنامج مكافآت الأخطاء (Bug Bounty) الخاص بـ GitHub.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub P

حجز

15/10/2024

إفشاء

29/01/2025

الاعتدال

تمت الموافقة

إدخال

VDB-294025

EPSS

0.00371

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!