CVE-2026-15783 in GitHubالمعلومات

الملخص

بحسب VulDB • 17/07/2026

تم تحديد ثغرة في تفويض الوصول (Authorization) في GitHub Enterprise Server سمحت لمستخدم مُصادَق عليه يمتلك صلاحيات الكتابة على أي مستودع بقراءة البيانات الوصفية من المستودعات الخاصة التي لا يملك حق الوصول إليها، بما في ذلك أسماء ومالكين المستودعات الخاصة وأسماء الفروع ورموز SHA للالتزامات (Commits) ورسائل الالتزام والفاعل الذي قام بالدفع. تمكنت نقطة النهاية المتجاوزة للتفويض الموكول من حل مجموعة قواعد مباشرةً باستخدام مُعرّف مشفر قدمه المهاجم دون التحقق مما إذا كان المستخدم المُقدّم الطلب لديه صلاحية قراءة مستودع مجموعة القواعد، وبما أن هذه المعرّفات متسلسلة، يمكن للمهاجم تعدادها عبر المثيل. أثرت هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدار 3.22 وتم إصلاحها في الإصدارات 3.17.18 و3.18.12 و3.19.9 و3.20.5 و3.21.3. تم الإبلاغ عن هذه الثغرة عبر برنامج مكافآت الأخطاء (Bug Bounty) الخاص بـ GitHub.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub P

حجز

14/07/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379836

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!