0x00 漏洞概述
CVE ID | CVE-2021-22864 | 时 间 | 2021-03-24 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | GitHub Enterprise Server < 3.0.3 |
PoC/EXP | 未公开 | 在野利用 |
|
0x01 漏洞详情
GitHub Enterprise是针对 Enterprise Cloud和 Enterprise Server 的统一产品,允许组织自行配置基于云端或者自建的 GitHub。
2021年03月23日,GitHub 官方发布安全公告,公开了GitHub Enterprise Server中的一个远程代码执行漏洞(CVE-2021-22864)。由于GitHub Pages 使用的用户控制配置选项没有受到足够的限制,使其有可能覆盖环境变量,导致攻击者在 GitHub Enterprise Server 实例上执行代码。拥有在GitHub Enterprise Server实例上创建和构建GitHub Pages站点权限的攻击者才能利用此漏洞。
0x02 处置建议
目前官方已修复了此漏洞,建议及时更新至GitHub Enterprise Server 3.0.3、2.22.9或2.21.17。
下载链接:
https://enterprise.github.com/releases/3.0.3/download
0x03 参考链接
https://docs.github.com/en/enterprise-server@3.0/admin/release-notes
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22864
https://nvd.nist.gov/vuln/detail/CVE-2021-22864
0x04 时间线
2021-03-23 GitHub发布安全公告
2021-03-24 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/