近日,安全研究人员披露了GitHub企业服务器(GHES)的关键漏洞(CVE-2024-4985,cvss得分:10.0),该漏洞允许未经授权的攻击者,在不需要预先认证的情况下访问GHES实例。目前GitHub已经推出了修复措施,没有发现该漏洞已经被大规模利用,用户可将GHES更新到已修补的版本(3.9.15、3.10.12、3.11.10、3.12.4或更高版本)。如果无法立即更新,考虑暂时禁用SAML认证或加密断言功能作为临时缓解措施。
参考:https://cncso.com/critical-github-enterprise-server-flaw-allows-authentication-bypass.html
