CVE-2026-15783 in GitHubinformazioni

Riassunto

di VulDB • 17/07/2026

È stata identificata una vulnerabilità di autorizzazione mancante in GitHub Enterprise Server che consentiva a un utente autenticato con accesso in scrittura a qualsiasi repository di leggere i metadati dai repository privati ai quali non aveva accesso, inclusi proprietari e nomi dei repository privati, nomi dei branch, SHA dei commit, messaggi dei commit e l'attore responsabile del push. L'endpoint per il bypass delegato risolveva una suite di regole direttamente da un identificatore codificato fornito dall'attaccante senza verificare che l'utente richiedente potesse leggere il repository della suite di regole; poiché questi identificatori sono sequenziali, un attaccante poteva enumerarli su tutta l'istanza. Questa vulnerabilità ha interessato tutte le versioni di GitHub Enterprise Server precedenti alla 3.22 ed è stata risolta nelle versioni 3.17.18, 3.18.12, 3.19.9, 3.20.5 e 3.21.3. Questa vulnerabilità è stata segnalata tramite il programma GitHub Bug Bounty.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub P

Prenotare

14/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!