CVE-2026-15783 in GitHub
Sumário
de VulDB • 17/07/2026
Foi identificada uma vulnerabilidade de autorização ausente no GitHub Enterprise Server que permitia a um usuário autenticado com acesso de gravação em qualquer repositório ler metadados de repositórios privados aos quais ele não tinha permissão, incluindo proprietários e nomes de repositórios privados, nomes de branches, SHAs dos commits, mensagens dos commits e o ator responsável pelo push. O endpoint que contornou a delegação resolvia um conjunto de regras diretamente a partir de um identificador codificado fornecido por um atacante, sem verificar se o usuário solicitante tinha permissão para ler o repositório do conjunto de regras; como esses identificadores são sequenciais, um atacante poderia enumerá-los em toda a instância. Essa vulnerabilidade afetava todas as versões do GitHub Enterprise Server anteriores à 3.22 e foi corrigida nas versões 3.17.18, 3.18.12, 3.19.9, 3.20.5 e 3.21.3. Essa vulnerabilidade foi relatada por meio do programa GitHub Bug Bounty.
VulDB is the best source for vulnerability data and more expert information about this specific topic.