ProduktGitHub Enterprise Server – wersje 3.21.x wcześniejsze niż 3.21.2
GitHub Enterprise Server – wersje 3.20.x wcześniejsze niż 3.20.4
GitHub Enterprise Server – wersje 3.19.x wcześniejsze niż 3.19.8
GitHub Enterprise Server – wersje 3.18.x wcześniejsze niż 3.18.11
GitHub Enterprise Server – wersje 3.17.x wcześniejsze niż 3.17.17
Numer CVECVE-2026-14340
Krytyczność5.0/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N
OpisW systemie GitHub Enterprise Server zidentyfikowano nieprawidłową lukę w zabezpieczeniach autoryzacji, która umożliwiała tokenowi użytkownik-serwer o zakresie instalacji aplikacji GitHub wykonywanie określonych operacji zapisu w publicznych repozytoriach poza zamierzonym zakresem tokena. Było to możliwe, ponieważ kontrola autoryzacji weryfikowała jedynie, czy instalacja ma uprawnienia do odczytu w docelowym repozytorium, a nie, czy instalacja tokena otrzymała jawny dostęp do tego repozytorium. Atakujący, który uzyskał token użytkownik-serwer ofiary, mógł tworzyć zgłoszenia, publikować komentarze, zatwierdzać komentarze i publikować prywatne raporty o podatnościach w dowolnym publicznym repozytorium, podszywając się pod użytkownika ofiary, bez wskazania zaangażowania aplikacji.
  
Numer CVECVE-2026-9106
Krytyczność5.5/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
OpisW systemie GitHub Enterprise Server zidentyfikowano lukę w zabezpieczeniach umożliwiającą fałszywe przedstawienie interfejsu użytkownika, która umożliwiała aplikacji OAuth uzyskanie niezamierzonego dostępu do zarządzania modułami uruchamiającymi w organizacji. Atakujący mógł wykorzystać tę lukę, tworząc aplikację OAuth żądającą zakresu manage_runners:org i nakłaniającą użytkownika ofiary do autoryzacji, ponieważ zakres ten nie był wyświetlany na ekranie zgody na autoryzację.
  
Numer CVECVE-2026-9132
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisW systemie GitHub Enterprise Server zidentyfikowano lukę w zabezpieczeniach związaną z brakiem autoryzacji, która umożliwiała uwierzytelnionemu użytkownikowi odczyt kodu źródłowego z prywatnych repozytoriów, do których nie miał dostępu. Punkt końcowy podsumowania różnic w opisie żądania ściągnięcia Copilot akceptował zakres porównania międzyrepozytoriowego i renderował wynikowy diff bez weryfikacji, czy użytkownik żądający miał uprawnienia do przeglądania repozytorium docelowego. Wykorzystanie luki wymagało uwierzytelnionego konta na instancji z dostępem do odczytu co najmniej jednego repozytorium, które miało posłużyć jako baza porównawcza.
  
Numer CVECVE-2026-10585
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisW systemie GitHub Enterprise Server zidentyfikowano lukę w zabezpieczeniach umożliwiającą atak typu cross-site scripting, która umożliwiała uwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce innego użytkownika poprzez wstrzyknięcie zmodyfikowanego kodu do tytułu dyskusji w kategorii „Pytania i odpowiedzi”. Komponent AnsweredQuestionStructuredDataComponent nie unikał kontrolowanych przez użytkownika tytułów dyskusji przed osadzeniem ich w bloku <script type=”application/ld+json”>, umożliwiając tytułowi wydostanie się z kontekstu skryptu. Atak ten został eskalowany do pełnego ataku typu cross-site scripting na system GitHub Enterprise Server poprzez wykorzystanie obsługi wywołań zwrotnych JSONP w interfejsie REST API w celu obejścia zasad bezpieczeństwa treści.
  
AktualizacjaTAK
Linkhttps://docs.github.com/en/enterprise-server@3.21/admin/release-notes
https://docs.github.com/en/enterprise-server@3.20/admin/release-notes
https://docs.github.com/en/enterprise-server@3.19/admin/release-notes
https://docs.github.com/en/enterprise-server@3.18/admin/release-notes
https://docs.github.com/en/enterprise-server@3.17/admin/release-notes