先日、セキュリティ研究者がGitHub Enterprise Server(GHES)に重大な脆弱性(CVE-2024-4985、cvssスコア:10.0)があることを公表し、許可されていない攻撃者が事前認証なしでGHESインスタンスにアクセスできることが明らかになりました。現在、GitHubによって修正プログラムが配布されており、この脆弱性の大規模な悪用は見つかっていないため、ユーザーはGHESをパッチが適用されたバージョン(3.9.15、3.10.12、3.11.10、3.12.4以降)にアップデートすることができます。即時のアップデートが不可能な場合は、一時的な緩和策として、SAML 認証または暗号化アサーション機能を一時的に無効にすることを検討してください。
参考:https://cncso.com/critical-github-enterprise-server-flaw-allows-authentication-bypass.html
