CVE-2026-3307 in GitHubinformation

Résumé

par VulDB • 01/06/2026

Une vulnérabilité de contournement d'autorisation a été identifiée dans GitHub Enterprise Server, permettant à un attaquant disposant d'un accès administrateur sur un dépôt de modifier la liste des réviseurs délégués pour le contournement de la protection contre les fuites de secrets lors des pushs sur un autre dépôt, en manipulant le paramètre owner_id dans le corps de la requête. L'autorisation a été vérifiée par rapport au dépôt indiqué dans l'URL, mais l'action a été appliquée à un dépôt différent spécifié dans le corps de la requête. L'impact est limité à l'attribution d'utilisateurs de confiance existants en tant que réviseurs de contournement ; cela n'autorise pas l'ajout d'utilisateurs externes arbitraires. Cette vulnérabilité affectait toutes les versions de GitHub Enterprise Server antérieures à la 3.21 et a été corrigée dans les versions 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4 et 3.20.1. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub P

Réserver

26/02/2026

Divulgation

22/04/2026

Modérer

accepté

Entrée

VDB-358607

CPE

prêt

EPSS

0.00073

KEV

non

Activités

très faible

Secteur

Hostingprovider, Insurance, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-3307
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-3307
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-3307/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!