CVE-2026-15343 in GitHubالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تم تحديد ثغرة في تنقل المسار (Path Traversal) في GitHub Enterprise Server سمحت لمهاجم لديه تنفيذ للأكواد داخل حاوية Dependabot updater بكتابة ملفات إلى مسارات مستودع عشوائية، بما في ذلك ملفات سير عمل GitHub Actions الموجودة تحت .github/workflows/، حيث إن التحقق من صحة المسار لم يتحقق من المسار الفعلي الذي كان المهاجم يمكنه التحكم فيه عبر دليل ملف التبعية وهدف الرابط الرمزي. إذا كان المستودع يستخدم سير عمل pull_request_target أو كانت ميزة الدمج التلقائي (auto-merge) مفعّلة، فإن سير العمل المُحقن قد يتم تنفيذه مع الوصول إلى أسرار GitHub Actions الخاصة بالمستودع. أثرت هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدار 3.22 وتم إصلاحها في الإصدارات 3.21.3 و3.20.5 و3.19.9 و3.18.12 و3.17.18.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379889

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!