CVE-2026-15783 in GitHubinfo

Zusammenfassung

von VulDB • 17.07.2026

In GitHub Enterprise Server wurde eine Schwachstelle aufgrund fehlender Autorisierung identifiziert, die es einem authentifizierten Benutzer mit Schreibzugriff auf ein beliebiges Repository ermöglichte, Metadaten aus privaten Repositories zu lesen, auf die er keinen Zugriff hatte, einschließlich der Namen und Eigentümer privater Repositories, Branch-Namen, Commit-SHAs, Commit-Nachrichten und des Benutzers, der den Push durchgeführt hat. Der Endpunkt für die Delegierungsumgehung löste eine Regelsuite direkt aus einem von einem Angreifer bereitgestellten, codierten Bezeichner auf, ohne zu überprüfen, ob der anfragende Benutzer Lesezugriff auf das Repository der Regelsuite hatte. Da diese Bezeichner sequenziell sind, konnte ein Angreifer sie über die gesamte Instanz hinweg auflisten. Diese Schwachstelle betraf alle Versionen von GitHub Enterprise Server vor 3.22 und wurde in den Versionen 3.17.18, 3.18.12, 3.19.9, 3.20.5 und 3.21.3 behoben. Diese Schwachstelle wurde über das GitHub Bug Bounty-Programm gemeldet.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub P

Reservieren

14.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379836

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!