CVE-2026-15343 in GitHub
الملخص
بحسب VulDB • 17/07/2026
تم تحديد ثغرة في تنقل المسار (Path Traversal) في GitHub Enterprise Server سمحت لمهاجم لديه تنفيذ للأكواد داخل حاوية Dependabot updater بكتابة ملفات إلى مسارات مستودع عشوائية، بما في ذلك ملفات سير عمل GitHub Actions الموجودة تحت .github/workflows/، حيث إن التحقق من صحة المسار لم يتحقق من المسار الفعلي الذي كان المهاجم يمكنه التحكم فيه عبر دليل ملف التبعية وهدف الرابط الرمزي. إذا كان المستودع يستخدم سير عمل pull_request_target أو كانت ميزة الدمج التلقائي (auto-merge) مفعّلة، فإن سير العمل المُحقن قد يتم تنفيذه مع الوصول إلى أسرار GitHub Actions الخاصة بالمستودع. أثرت هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدار 3.22 وتم إصلاحها في الإصدارات 3.21.3 و3.20.5 و3.19.9 و3.18.12 و3.17.18.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.