CVE-2026-15783 in GitHub
Zusammenfassung
von VulDB • 17.07.2026
In GitHub Enterprise Server wurde eine Schwachstelle aufgrund fehlender Autorisierung identifiziert, die es einem authentifizierten Benutzer mit Schreibzugriff auf ein beliebiges Repository ermöglichte, Metadaten aus privaten Repositories zu lesen, auf die er keinen Zugriff hatte, einschließlich der Namen und Eigentümer privater Repositories, Branch-Namen, Commit-SHAs, Commit-Nachrichten und des Benutzers, der den Push durchgeführt hat. Der Endpunkt für die Delegierungsumgehung löste eine Regelsuite direkt aus einem von einem Angreifer bereitgestellten, codierten Bezeichner auf, ohne zu überprüfen, ob der anfragende Benutzer Lesezugriff auf das Repository der Regelsuite hatte. Da diese Bezeichner sequenziell sind, konnte ein Angreifer sie über die gesamte Instanz hinweg auflisten. Diese Schwachstelle betraf alle Versionen von GitHub Enterprise Server vor 3.22 und wurde in den Versionen 3.17.18, 3.18.12, 3.19.9, 3.20.5 und 3.21.3 behoben. Diese Schwachstelle wurde über das GitHub Bug Bounty-Programm gemeldet.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.