CVE-2026-3307 in GitHubالمعلومات

الملخص

بحسب VulDB • 09/05/2026

تم تحديد ثغرة تجاوز التفويض في GitHub Enterprise Server، مما سمح لمهاجم لديه وصول كمسؤول (admin) في مستودع واحد بتعديل قائمة المراجعين المعفيين من حماية دفع فحوصات الأسرار (secret scanning push protection) المفوضة في مستودع آخر، من خلال التلاعب بمعامل owner_id في جسم الطلب. تم التحقق من التفويض مقابل المستودع الموجود في عنوان URL، لكن الإجراء طُبق على مستودع مختلف محدد في جسم الطلب. يقتصر التأثير على تعيين المستخدمين الموثوقين الحاليين كمراجعين معفيين؛ ولا يسمح بإضافة مستخدمين خارجيين عشوائيين. أثرت هذه الثغرة على جميع إصدارات GitHub Enterprise Server السابقة للإصدار 3.21، وتم إصلاحها في الإصدارات 3.14.25، و3.15.20، و3.16.16، و3.17.13، و3.18.7، و3.19.4، و3.20.1. تم الإبلاغ عن هذه الثغرة عبر برنامج مكافآت الأخطاء في GitHub (GitHub Bug Bounty program).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub P

حجز

26/02/2026

إفشاء

22/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358607

EPSS

0.00073

KEV

لا

النشاطات

منخفض جدًا

القطاع

Pharma, Finance, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3307
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3307
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3307/

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!