GitHub Enterprise Server 存在授权不当漏洞(CVE-2022-46258)

news2025/1/15 22:54:02

漏洞描述

GitHub Enterprise Server 是一个面向开源及私有软件项目的托管平台,GitHub scope 用于限制 OAuth token 的访问范围。

在 GitHub Enterprise Server 中,除非提交位于同一存储库的不同分支中且和 Workflow files 内容相同的 Workflow 文件 ,否则只有具有 Workflow scope 的用户才可以对 Actions workflow 文件进行添加或修改。

在 GitHub Enterprise Server 的受影响版本中,由于修改 Actions workflow 文件的 api 接口没有验证用户请求中的 workflow scope,具有存储库读写访问权限(repository-scoped)的攻击者可在没有 Workflow scope 的情况下修改 Action Workflow 文件。

漏洞名称GitHub Enterprise Server 存在授权不当漏洞
漏洞类型授权机制不正确
发现时间2023/1/10
漏洞影响广度广
MPS编号MPS-2022-65651
CVE编号CVE-2022-46258
CNVD编号-

影响范围

GitHub Enterprise Server@[3.3.0, 3.3.16)

GitHub Enterprise Server@[3.4.0, 3.4.11)

GitHub Enterprise Server@[3.5.0, 3.5.8)

GitHub Enterprise Server@[3.6.0, 3.6.4)

修复方案

升级GitHub Enterprise Server到 3.3.16 或 3.4.11 或 3.5.8 或 3.6.4 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-65651

https://nvd.nist.gov/vuln/detail/CVE-2022-46258

https://github.com/advisories/GHSA-7x7g-xq59-cqgh

https://docs.github.com/en/enterprise-server@3.3/admin/release-notes#3.3.16

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址:https://www.murphysec.com/

开源地址:https://github.com/murphysecurity/murphysec

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/156106.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【学习】Reptile、梯度下降的LSTM、Siamese Network、原型网络、匹配网络、关系网络

文章目录ReptileRNNLSTM梯度下降的LSTM基于度量的方法Siamese NetworkN-way Few/One-shot Learning原型网络匹配网络关系网络虚拟数据的少量学习Train Test as RNNReptile RNN LSTM RNN的变形 加入门 梯度下降的LSTM GD看似像简化的LSTM 可以让机器自动学习这些zf和zi …

sql的where使用运算后的列后报错

sql的where语句中如果使用了经过运算处理后的某个列的话会报错,例如:上面红框部分就是经过运算后的列,但这个语法是错误的,但如果想通过运算后的某个列来筛选条件,应该怎么办?可以使用嵌套查询:…

SpringBoot实践(三十八):自定义spring-boot-starter

目录 自动配置原理 自定义starter包 导入springboot的自动配置依赖 测试业务代码 spring.factories配置 ​编辑 本地包上传 使用自定义starter依赖 测试和配置 自动配置原理 基于springBoot的starter机制能够让我们在使用外部包时候非常方便,只需要引入该组…

PCB学习笔记—3D PCB封装的创建

放置3D元件体:常规的、自定义、圆柱形、球体。第一个是厚度,第二个是焊盘和芯片的悬浮高度。一般电阻的高度设置成0.6mm就够了,电容1.25mm,悬浮高度为0。按键:放置3D元件体,Tab键,选择常规&…

快过年静不下心?不如刷刷《剑指offer》静一静(第七天)

跟着博主一起刷题 这里使用的是题库: https://leetcode.cn/problem-list/xb9nqhhg/?page1 目录剑指 Offer 49. 丑数剑指 Offer 51. 数组中的逆序对剑指 Offer 55 - I. 二叉树的深度剑指 Offer 49. 丑数 剑指 Offer 49. 丑数 我一开始的思路是,把数字1~无…

机器学习HW15元学习

文章目录一、简介Task: Few-shot Classification实验1、simple2、medium3、strong4、boss三、代码模型构建准备工作一、简介 任务对象是Omniglot数据集上的few-shot classification任务,内容是利用元学习找到好的初始化参数。 Task: Few-shot Classification The…

在VSCode中使用Compaq Visual Fortran编译运行Frotran程序

本片文章主要是为了使用VSCode编译运行带QuickWin的老版本Fortran代码。 一、准备工作 安装VSCode和Compaq Visual Fortran6.6。 二、配置Fortran工程 用VSCode打开保存有Frotran代码的文件夹 建立.vscode文件夹,建立launch.json和task.json文件,分…

二、TCP/IP---Ethernet和IP协议

TCP/ip协议栈 OSI模型TCP/IP协议栈应用层,表示层,会话层应用层传输层主机到主机层(传输层)网络层网络层数据链路层,物理层网络接入层 Ethernet协议 以太网,实现链路层的数据传输和地址封装(MA…

马蹄集 三角形坐标

三角形坐标 难度&#xff1a;青铜 ○时间限制&#xff1a;1秒 巴占用内存&#xff1a;64M 输入三角形三个顶点A,B,C的坐标(x,y),根据公式计算并输出三 角形面积。 S1/2*X1y2X2y33y1-X1y3-X2y1-x3y2 #include <bits/stdc.h> using namespace std; int main(){double x[4],…

Win10应用商店无法加载错误0x80072F7D怎么办?

Win10应用商店无法加载错误0x80072F7D怎么办&#xff1f;有用户开启电脑的Win10软件商店想要获取软件的时候&#xff0c;发现软件页面无法进行正常的加载&#xff0c;里面的内容显示为错误代码0x80072F7D。那么这个情况怎么去进行解决呢&#xff1f;一起来看看详细的解决方法分…

PMP证书到期了,有必要续吗?

我觉得续证是有需要的&#xff0c;毕竟证书有用的地方很多。 下面我们将从两方面分享&#xff1a; 1. PMP 证书在国内的含金量怎么样&#xff1f; 2. HR 如何看待 PMP 证书&#xff1f; 说到 PMP 证书的含金量&#xff0c;相信这个问题是所有人都关心的。对于如何来评判 PMP…

达芬奇密码题解

题目信息达芬奇隐藏在蒙娜丽莎中的数字列:1 233 3 2584 1346269 144 5 196418 21 1597 610 377 10946 89 514229 987 8 55 6765 2178309 121393 317811 46368 4181 1 832040 2 28657 75025 34 13 17711 记录在达芬奇窗台口的神秘数字串:36968853882116725547342176952286这道题…

Vue3——第十章(异步组件:defineAsyncComponent)

一、defineAsyncComponent基本使用 在大型项目中&#xff0c;我们可能需要拆分应用为更小的块&#xff0c;并仅在需要时再从服务器加载相关组件。Vue 提供了 defineAsyncComponent 方法来实现此功能&#xff1a; 如你所见&#xff0c;defineAsyncComponent 方法接收一个返回 P…

文档流code案例小汇【处理高度塌陷】

clear mdn文档 clear只是清除浮动&#xff0c;不能缓解【高度塌陷】 https://developer.mozilla.org/zh-CN/docs/Web/CSS/clear 值 none 元素不会被向下移动以清除浮动。left 元素被向下移动以清除左浮动。right 元素被向下移动以清除右浮动。both 元素被向下移动以清除左右浮动…

LeetCode刷题模版:61 - 70

目录 简介61. 旋转链表62. 不同路径63. 不同路径 II64. 最小路径和65. 有效数字【未理解】66. 加一67. 二进制求和68. 文本左右对齐【未实现】69. x 的平方根70. 爬楼梯结语简介 Hello! 非常感谢您阅读海轰的文章,倘若文中有错误的地方,欢迎您指出~ ଘ(੭ˊᵕˋ)੭ 昵称:…

1月第1周榜单丨B站UP主排行榜(飞瓜数据B站)发布!

飞瓜轻数发布2023年1月2日-1月8日飞瓜数据UP主排行榜&#xff08;B站平台&#xff09;&#xff0c;通过充电数、涨粉数、成长指数三个维度来体现UP主账号成长的情况&#xff0c;为用户提供B站号综合价值的数据参考&#xff0c;根据UP主成长情况用户能够快速找到运营能力强的B站…

Web(四)

基本对象&#xff1a;1. Function&#xff1a;函数(方法)对象创建&#xff1a;1. var fun new Function(形式参数列表,方法体); //忘掉吧2. function 方法名称(形式参数列表){方法体}3. var 方法名 function(形式参数列表){方法体}既是方法也是对象&#xff0c;不传或者参数不…

PyG Temporal搭建STGCN实现多变量输入多变量输出时间序列预测

目录I. 前言II. STGCNIII. PyG TemporalIV. 模型训练/测试V. 代码I. 前言 前面已经写过不少时间序列预测的文章&#xff1a; 深入理解PyTorch中LSTM的输入和输出&#xff08;从input输入到Linear输出&#xff09;PyTorch搭建LSTM实现时间序列预测&#xff08;负荷预测&#x…

C++——类和对象1

目录 1. 类和对象认识 2. 类的引入 3. 类的定义 4. 类的访问限定符及封装 4.1 访问限定符 4.2 封装 5. 类的作用域 6. 类的实例化 7. 类对象模型 7.1 如何计算类对象的大小 7.2 类对象的存储方式猜测 7.3 结构体内存对齐规则 8. this指针 8.1 this指针的…

cv-cuda (cvcuda、nvcv)教程——Python安装

由于当前版本安装后&#xff0c;大家反应import nvcv cvcuda 失败&#xff0c;看官方文档&#xff0c;当前还不是很规范&#xff0c;特此记录当前版本的安装方法。 官方安装文档&#xff1a;Installation — CV-CUDA Alpha documentation 方法一、如果你有权限推荐deb安装方式…