聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
今天,GitHub 在官网上发布消息称,在 GitHub Enterprise Server 中发现一个远程代码执行漏洞,编号为 CVE-2021-22864。当构建 GitHub Pages 网站时即可利用该漏洞。
GitHub Pages 使用的受用户控制的配置选项由于限制不足,可能覆写环境变量,从而导致在 GitHub 企业服务器实例上执行代码。要利用该漏洞,攻击者需要获得在 GitHub Enterprise Server 实例上创建并构建GitHub Pages 网站的权限。
该漏洞影响 3.0.3 之前的版本,且在 3.0.3、2.22.9和2.21.17 版本中修复。该漏洞通过 GitHub 漏洞奖励计划报告。
https://docs.github.com/en/enterprise-server@2.21/admin/release-notes#2.21.17
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~