CVE-2024-10001 in GitHub情報

要約

〜によって VulDB • 2026年06月02日

GitHub Enterprise Serverにおいて、メッセージ処理関数のidentityプロパティを介してクエリセレクタに悪意のあるコードを注入できるCode Injection脆弱性が特定されました。これにより、認証トークンを含む機密データの漏洩を、DOMの操作を通じて可能にしました。攻撃を実行するには、被害者がGitHubにログインし、隠しiframeを含む攻撃者が制御する悪意のあるウェブページと対話する必要があります。この脆弱性は、originチェックがユーザー制御可能なidentityプロパティを受け入れた後に発生するという、検証の不適切な順序に起因します。この脆弱性は、3.11.16、3.12.10、3.13.5、3.14.2、および3.15.0より前のすべてのバージョンのGitHub Enterprise Serverに影響を与えました。この脆弱性は、GitHub Bug Bountyプログラムを通じて報告されました。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub P

予約する

2024年10月15日

モデレーション

承諾済み

エントリ

VDB-294025

EPSS

0.00371

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!