Уязвимость подделки запроса на стороне сервера (SSRF) была идентифицирована в прослушивателе ноутбука GitHub Enterprise Server, что позволи…
Уязвимость подделки запроса на стороне сервера (SSRF) была идентифицирована в прослушивателе ноутбука GitHub Enterprise Server, что позволило злоумышленнику получить доступ к внутренним службам, используя путаницу URL-адреса между уровнем проверки и библиотекой HTTP-запроса. Проверка имени хоста использовала другой парсер URL, чем библиотека запросов, что позволяло создавать URL-адрес для прохождения проверки при направления запроса на непреднамеренный хост. Эксплуатация требует доступа к сети экземпляра GitHub Enterprise Server. Эта уязвимость затронула все версии GitHub Enterprise Server до 3.21 и была исправлена в версиях 3.16.18, 3.17.15, 3.18.9, 3.19.6 и 3.20.2. Об этой уязвимости сообщалось через программу GitHub Bug Bounty.
Продукт A обрабатывает входные данные или шаги иначе, чем продукт B, что вынуждает A выполнять некорректные действия, основываясь на собственном представлении о состоянии B.
https://cwe.mitre.org/data/definitions/436.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/34.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/105.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/273.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| enterprise_server | * | Отслеживается |