Kürzlich haben Sicherheitsforscher eine kritische Schwachstelle (CVE-2024-4985, cvss score: 10.0) im GitHub Enterprise Server (GHES) aufgedeckt, die es einem unbefugten Angreifer ermöglicht, ohne vorherige Authentifizierung auf GHES-Instanzen zuzugreifen. GitHub hat inzwischen einen Fix bereitgestellt, und es wurde keine groß angelegte Ausnutzung der Schwachstelle gefunden, so dass Benutzer GHES auf eine gepatchte Version (3.9.15, 3.10.12, 3.11.10, 3.12.4 oder höher) aktualisieren können. Wenn eine sofortige Aktualisierung nicht möglich ist, sollten Sie die SAML-Authentifizierung oder die kryptografischen Bestätigungsfunktionen vorübergehend deaktivieren, um die Schwachstelle zu beheben.
Referenz: https://cncso.com/critical-github-enterprise-server-flaw-allows-authentication-bypass.html
