Недавно исследователи безопасности обнаружили критическую уязвимость (CVE-2024-4985, cvss score: 10.0) в GitHub Enterprise Server (GHES), которая позволяет неавторизованному злоумышленнику получить доступ к экземплярам GHES без предварительной аутентификации. В настоящее время GitHub выпустил исправление, масштабной эксплуатации уязвимости не обнаружено, поэтому пользователи могут обновить GHES до исправленной версии (3.9.15, 3.10.12, 3.11.10, 3.12.4 или более поздней). Если немедленное обновление невозможно, рассмотрите возможность временного отключения функций аутентификации SAML или криптографического утверждения в качестве временного средства защиты.
Ссылка: https://cncso.com/critical-github-enterprise-server-flaw-allows-authentication-bypass.html
