O GitHub lançou atualizações de segurança para o Enterprise Server (GHES) para corrigir várias falhas, incluindo uma vulnerabilidade crítica que poderia permitir o acesso não autorizado a uma instância. A falha, identificada como CVE-2024-9487, recebeu uma pontuação CVSS de 9.5 em um máximo de 10.0. De acordo com o GitHub, a vulnerabilidade permite que atacantes contornem a autenticação SAML de login único (SSO) ao explorar uma verificação inadequada de assinaturas criptográficas, caso o recurso opcional de afirmações criptografadas esteja habilitado.

Isso possibilita o provisionamento não autorizado de usuários e o acesso à instância do GitHub Enterprise Server. Essa falha é classificada como uma “regressão”, introduzida durante a correção de uma vulnerabilidade anterior, a CVE-2024-4985, que tinha uma pontuação máxima de gravidade (CVSS: 10.0) e foi corrigida em maio de 2024. Essas vulnerabilidades foram corrigidas nas versões 3.14.2, 3.13.5, 3.12.10 e 3.11.16 do GitHub Enterprise Server.

Em agosto, o GitHub já havia corrigido outra falha crítica de segurança (CVE-2024-6800, CVSS: 9.5) que podia ser explorada para obter privilégios de administrador de site. Organizações que utilizam versões autogerenciadas vulneráveis do GHES são fortemente recomendadas a atualizar para a versão mais recente para evitar potenciais ameaças de segurança.