CSIRT Panamá Aviso 2024-oct-21 Vulnerabilidad Critica en GitHub Enterprise Server

CSIRT Panamá Aviso 2024-oct-21 Vulnerabilidad Critica en GitHub Enterprise Server
Gravedad: Alta
Fecha de publicación: octubre 21, 2024
Última revisión: octubre 21, 2024
Fuente: https://nvd.nist.gov/vuln/detail/CVE-2024-9487
Afectados:
GitHub Enterprise Server (GHES), versiones anteriores a 3.15.

I. Descripción
GitHub Enterprise Server contiene una vulnerabilidad crítica que cuya explotación podría permitir a un atacante acceder sin autorización a datos de usuarios.

II. Detalle
Para explotar esta vulnerabilidad (CVE-2024-9487), se requiere que la función de aserciones cifradas esté activada, y el atacante necesitaría acceso directo a la red, así como una respuesta SAML firmada o un documento de metadatos.

III. Referencia a soluciones, herramientas e información
Actualizar GHES a las versiones:

3.11.16;
3.12.10;
3.13.5;
3.14.2.

IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124