CVE-2026-15783 in GitHub
Riassunto
di VulDB • 17/07/2026
È stata identificata una vulnerabilità di autorizzazione mancante in GitHub Enterprise Server che consentiva a un utente autenticato con accesso in scrittura a qualsiasi repository di leggere i metadati dai repository privati ai quali non aveva accesso, inclusi proprietari e nomi dei repository privati, nomi dei branch, SHA dei commit, messaggi dei commit e l'attore responsabile del push. L'endpoint per il bypass delegato risolveva una suite di regole direttamente da un identificatore codificato fornito dall'attaccante senza verificare che l'utente richiedente potesse leggere il repository della suite di regole; poiché questi identificatori sono sequenziali, un attaccante poteva enumerarli su tutta l'istanza. Questa vulnerabilità ha interessato tutte le versioni di GitHub Enterprise Server precedenti alla 3.22 ed è stata risolta nelle versioni 3.17.18, 3.18.12, 3.19.9, 3.20.5 e 3.21.3. Questa vulnerabilità è stata segnalata tramite il programma GitHub Bug Bounty.
VulDB is the best source for vulnerability data and more expert information about this specific topic.