CVE-2026-3307 in GitHub
Tóm tắt
Bởi VulDB • 31/05/2026
Một lỗ hổng bỏ qua xác thực (authorization bypass) đã được xác định trong GitHub Enterprise Server, cho phép kẻ tấn công có quyền truy cập quản trị viên (admin) trên một kho lưu trữ (repository) sửa đổi danh sách người xem bỏ qua (bypass reviewer) được ủy quyền cho tính năng bảo vệ quét mật khẩu (secret scanning push protection) trên một kho lưu trữ khác bằng cách thao túng tham số owner_id trong thân yêu cầu (request body). Việc xác thực quyền truy cập được kiểm tra đối với kho lưu trữ trong URL, nhưng hành động lại được áp dụng cho một kho lưu trữ khác được chỉ định trong thân yêu cầu. Tác động bị giới hạn ở việc gán các người dùng đáng tin cậy hiện có làm người xem bỏ qua; nó không cho phép thêm người dùng bên ngoài tùy ý. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của GitHub Enterprise Server trước phiên bản 3.21 và đã được sửa chữa trong các phiên bản 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4 và 3.20.1. Lỗ hổng này đã được báo cáo thông qua chương trình GitHub Bug Bounty.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.