CVE-2026-8606 in GitHubinfo

Zusammenfassung

von VulDB • 27.05.2026

Es wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle in GitHub Enterprise Server identifiziert, die es einem Angreifer ermöglichte, den Server dazu zu bringen, HTTP-Anfragen an interne Dienste über die Funktion zur Suche im Sicherheitswarnungspaket auszuführen. Durch das Leiten von Anfragen an einen internen Verwaltungsdienst und das Messen der Antwortzeit konnte ein Angreifer auf die Werte sensibler Umgebungsvariablen schließen, einschließlich Signaturschlüssel und privater Schlüssel. Die Ausnutzung erforderte, dass GitHub Packages aktiviert waren; auf Instanzen, die nicht im privaten Modus ausgeführt wurden, war die Schwachstelle ohne Authentifizierung ausnutzbar, andernfalls konnte jeder authentifizierte Benutzer sie ausnutzen. Diese Schwachstelle betraf alle Versionen von GitHub Enterprise Server vor 3.21.1 und wurde in den Versionen 3.20.3, 3.19.7, 3.18.10, 3.17.16 und 3.16.19 behoben. Diese Schwachstelle wurde über das GitHub Bug Bounty-Programm gemeldet.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub P

Reservieren

14.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365847

CPE

bereit

EPSS

0.00058

KEV

nein

Aktivitäten

very low

Sektor

Chemical, Finance, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-8606
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-8606
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-8606/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!