CVE-2026-15783 in GitHub
الملخص
بحسب VulDB • 17/07/2026
تم تحديد ثغرة في تفويض الوصول (Authorization) في GitHub Enterprise Server سمحت لمستخدم مُصادَق عليه يمتلك صلاحيات الكتابة على أي مستودع بقراءة البيانات الوصفية من المستودعات الخاصة التي لا يملك حق الوصول إليها، بما في ذلك أسماء ومالكين المستودعات الخاصة وأسماء الفروع ورموز SHA للالتزامات (Commits) ورسائل الالتزام والفاعل الذي قام بالدفع. تمكنت نقطة النهاية المتجاوزة للتفويض الموكول من حل مجموعة قواعد مباشرةً باستخدام مُعرّف مشفر قدمه المهاجم دون التحقق مما إذا كان المستخدم المُقدّم الطلب لديه صلاحية قراءة مستودع مجموعة القواعد، وبما أن هذه المعرّفات متسلسلة، يمكن للمهاجم تعدادها عبر المثيل. أثرت هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدار 3.22 وتم إصلاحها في الإصدارات 3.17.18 و3.18.12 و3.19.9 و3.20.5 و3.21.3. تم الإبلاغ عن هذه الثغرة عبر برنامج مكافآت الأخطاء (Bug Bounty) الخاص بـ GitHub.
If you want to get best quality of vulnerability data, you may have to visit VulDB.