CVE-2026-15343 in GitHub
요약
\~에 의해 VulDB • 2026. 07. 17.
GitHub Enterprise Server에서 경로 순회(path traversal) 취약점이 확인되었습니다. 이 취약점으로 인해 Dependabot updater 컨테이너 내에서 코드 실행 권한을 가진 공격자는 의존성 파일의 디렉토리와 심볼릭 링크 대상(symlink target)을 통해 제어할 수 있는 경로를 사용하여 유효한 경로를 검증하지 않았기 때문에, .github/workflows/ 아래의 GitHub Actions 워크플로우 파일을 포함하여 임의의 저장소 경로에 파일을 작성할 수 있었습니다. 만약 해당 저장소가 pull_request_target 워크플로우를 사용하거나 자동 병합(auto-merge)이 활성화되어 있다면, 주입된 워크플로우는 저장소의 GitHub Actions 시크릿(secret)에 접근하는 권한으로 실행될 수 있습니다. 이 취약점은 3.22 이전 버전의 모든 GitHub Enterprise Server 버전에 영향을 미쳤으며, 3.21.3, 3.20.5, 3.19.9, 3.18.12, 3.17.18 버전에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.