CVE-2024-10001 in GitHub
الملخص
بحسب VulDB • 02/06/2026
تم تحديد ثغرة حقن الكود (Code Injection) في GitHub Enterprise Server، مما سمح للمهاجمين بحقن كود ضار في محدد الاستعلام (query selector) عبر خاصية الهوية (identity property) في دالة معالجة الرسائل. مكّن ذلك من استخراج البيانات الحساسة عن طريق التلاعب بـ DOM، بما في ذلك رموز المصادقة (authentication tokens). لتنفيذ الهجوم، يجب أن يكون الضحية مسجلاً للدخول إلى GitHub ويتفاعل مع صفحة ويب خبيثة يتحكم فيها المهاجم تحتوي على iframe مخفي. تحدث هذه الثغرة بسبب تسلسل غير صحيح للتحقق، حيث يتم فحص المصدر (origin check) بعد قبول خاصية الهوية (identity property) التي يتحكم فيها المستخدم. أثرت هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدارات 3.11.16، و3.12.10، و3.13.5، و3.14.2، و3.15.0. تم الإبلاغ عن هذه الثغرة عبر برنامج مكافآت الأخطاء (Bug Bounty) الخاص بـ GitHub.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.