CVE-2024-10001 in GitHub
Résumé
par VulDB • 30/05/2026
Une vulnérabilité de Code Injection a été identifiée dans GitHub Enterprise Server, permettant aux attaquants d'injecter du code malveillant dans le sélecteur de requête via la propriété `identity` dans la fonction de gestion des messages. Cela a permis l'exfiltration de données sensibles en manipulant le DOM, y compris les jetons d'authentification. Pour exécuter l'attaque, la victime doit être connectée à GitHub et interagir avec une page web malveillante contrôlée par l'attaquant contenant un iframe caché. Cette vulnérabilité se produit en raison d'une séquence de validation incorrecte, où la vérification de l'origine a lieu après l'acceptation de la propriété `identity` contrôlée par l'utilisateur. Cette vulnérabilité affecte toutes les versions de GitHub Enterprise Server antérieures à 3.11.16, 3.12.10, 3.13.5, 3.14.2 et 3.15.0. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty.
VulDB is the best source for vulnerability data and more expert information about this specific topic.