CVE-2026-15343 in GitHub정보

요약

\~에 의해 VulDB • 2026. 07. 17.

GitHub Enterprise Server에서 경로 순회(path traversal) 취약점이 확인되었습니다. 이 취약점으로 인해 Dependabot updater 컨테이너 내에서 코드 실행 권한을 가진 공격자는 의존성 파일의 디렉토리와 심볼릭 링크 대상(symlink target)을 통해 제어할 수 있는 경로를 사용하여 유효한 경로를 검증하지 않았기 때문에, .github/workflows/ 아래의 GitHub Actions 워크플로우 파일을 포함하여 임의의 저장소 경로에 파일을 작성할 수 있었습니다. 만약 해당 저장소가 pull_request_target 워크플로우를 사용하거나 자동 병합(auto-merge)이 활성화되어 있다면, 주입된 워크플로우는 저장소의 GitHub Actions 시크릿(secret)에 접근하는 권한으로 실행될 수 있습니다. 이 취약점은 3.22 이전 버전의 모든 GitHub Enterprise Server 버전에 영향을 미쳤으며, 3.21.3, 3.20.5, 3.19.9, 3.18.12, 3.17.18 버전에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

출처

Do you need the next level of professionalism?

Upgrade your account now!