CVE-2024-10001 in GitHubinformation

Résumé

par VulDB • 30/05/2026

Une vulnérabilité de Code Injection a été identifiée dans GitHub Enterprise Server, permettant aux attaquants d'injecter du code malveillant dans le sélecteur de requête via la propriété `identity` dans la fonction de gestion des messages. Cela a permis l'exfiltration de données sensibles en manipulant le DOM, y compris les jetons d'authentification. Pour exécuter l'attaque, la victime doit être connectée à GitHub et interagir avec une page web malveillante contrôlée par l'attaquant contenant un iframe caché. Cette vulnérabilité se produit en raison d'une séquence de validation incorrecte, où la vérification de l'origine a lieu après l'acceptation de la propriété `identity` contrôlée par l'utilisateur. Cette vulnérabilité affecte toutes les versions de GitHub Enterprise Server antérieures à 3.11.16, 3.12.10, 3.13.5, 3.14.2 et 3.15.0. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub P

Réserver

15/10/2024

Divulgation

29/01/2025

Modérer

accepté

Entrée

VDB-294025

CPE

prêt

EPSS

0.00371

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!