CVE-2024-10001 in GitHubthông tin

Tóm tắt

Bởi VulDB • 02/06/2026

Một lỗ hổng Code Injection đã được xác định trong GitHub Enterprise Server, cho phép kẻ tấn công chèn mã độc vào bộ chọn truy vấn (query selector) thông qua thuộc tính identity trong hàm xử lý tin nhắn. Điều này cho phép đánh cắp dữ liệu nhạy cảm bằng cách thao tác DOM, bao gồm cả các mã thông báo xác thực (authentication tokens). Để thực hiện cuộc tấn công, nạn nhân phải đăng nhập vào GitHub và tương tác với trang web độc hại do kẻ tấn công kiểm soát, có chứa iframe ẩn. Lỗ hổng này xảy ra do thứ tự xác thực không đúng, trong đó kiểm tra nguồn gốc (origin check) được thực hiện sau khi chấp nhận thuộc tính identity do người dùng kiểm soát. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của GitHub Enterprise Server trước 3.11.16, 3.12.10, 3.13.5, 3.14.2 và 3.15.0. Lỗ hổng này đã được báo cáo thông qua chương trình GitHub Bug Bounty.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub P

Đặt trước

15/10/2024

Tiết lộ

29/01/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00371

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!