CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-5845

Critical
Published: Translated: NVD NIST

Summary

Podatność związana z niewłaściwą autoryzacją w tokenach użytkownika do serwera (ghu_) w GitHub Enterprise Server pozwala uwierzytelnionemu atakującemu na dostęp do prywatnych repozytoriów poza zamierzonym zakresem instalacji. Może to obejmować operacje zapisu, dzięki błędnemu traktowaniu usuniętej instalacji jako kontekstu globalnego.

Risk Assessment

Organizacja może być narażona na nieautoryzowany dostęp do prywatnych danych, co może prowadzić do utraty poufności i integralności repozytoriów. Atakujący może wykorzystać tę podatność do przejęcia kontroli nad danymi w repozytoriach.

Recommendation

Zaleca się aktualizację GitHub Enterprise Server do wersji 3.20.1, 3.19.5, 3.18.8, 3.17.14, 3.16.17, 3.15.21 lub 3.14.26, aby usunąć tę podatność. Należy również przeanalizować i zrewidować polityki autoryzacji tokenów w organizacji.

Original NVD description (English source)

An improper authorization vulnerability in scoped user-to-server (ghu_) token authorization in GitHub Enterprise Server allows an authenticated attacker to access private repositories outside the intended installation scope, which can include write operations, via an authorization fallback that treated a revoked/deleted installation as a global installation context, which could be chained with token revocation timing and SSH push attribution to obtain and reuse a victim-scoped token. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.21 and was fixed in versions 3.20.1, 3.19.5, 3.18.8, 3.17.14, 3.16.17, 3.15.21, and 3.14.26. This vulnerability was reported via the GitHub Bug Bounty program.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS