Kritische SAML Sicherheitslücke in GitHub Enterprise Server behoben
Die Sicherheitslücke CVE-2024-6800 in GitHub Enterprise Server (GHES) betrifft die XML-Signatur-Validierung bei der SAML-Authentifizierung und ermöglicht es einem Angreifer mit direktem Netzwerkzugang, eine gefälschte SAML-Antwort zu erstellen. Dadurch konnte ein Angreifer ohne vorherige Authentifizierung Administratorzugriff auf die GHES-Instanz erlangen.
Die Schwachstelle betrifft alle Versionen von GitHub Enterprise Server vor 3.14 und wurde mit einem CVSSv3.0-Score von 9.8 als kritisch eingestuft. Das Problem wurde in den Versionen 3.13.3, 3.12.8, 3.11.14 und 3.10.16 behoben. GitHub empfiehlt allen Nutzern dringend, auf diese Versionen zu aktualisieren.