CVE-2026-15343
Zusammenfassung
von VulDB • 17.07.2026
Es wurde eine Path-Traversal-Schwachstelle im GitHub Enterprise Server identifiziert, die es einem Angreifer mit Code-Ausführung innerhalb des Dependabot-Updater-Containers ermöglichte, Dateien in beliebige Repository-Pfade zu schreiben, einschließlich der GitHub Actions Workflow-Dateien unter .github/workflows/, da die Pfadvalidierung den effektiven Pfad nicht überprüfte, den der Angreifer durch das Verzeichnis der Abhängigkeitsdatei und das Symlink-Ziel steuern konnte. Wenn das Repository einen pull_request_target-Workflow verwendete oder Auto-Merge aktiviert war, könnte ein injizierter Workflow mit Zugriff auf die GitHub Actions Secrets des Repositories ausgeführt werden. Diese Schwachstelle betraf alle Versionen von GitHub Enterprise Server vor 3.22 und wurde in den Versionen 3.21.3, 3.20.5, 3.19.9, 3.18.12, 3.17.18 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.