O GitHub lançou correções para resolver uma falha de gravidade máxima no GitHub Enterprise Server (GHES) que poderia permitir a um invasor contornar proteções de autenticação. Identificado como CVE-2024-4985 (CVSS score: 10.0), o problema poderia permitir acesso não autorizado a uma instância sem a necessidade de autenticação prévia. “Em instâncias que usam autenticação de logon único (SSO) SAML com o recurso de afirmações criptografadas opcional, um invasor poderia forjar uma resposta SAML para provisionar e/ou obter acesso a um usuário com privilégios de administrador”, afirmou a empresa em um aviso. GHES é uma plataforma auto-hospedada para desenvolvimento de software, permitindo que organizações armazenem e construam software usando controle de versão Git, além de automatizar o pipeline de implantação. O problema afeta todas as versões do GHES anteriores à 3.13.0 e foi abordado nas versões 3.9.15, 3.10.12, 3.11.10 e 3.12.4. GitHub ainda observou que as afirmações criptografadas não são ativadas por padrão e que a falha não afeta instâncias que não utilizam SAML single sign-on (SSO) ou aquelas que usam autenticação SAML SSO sem afirmações criptografadas. As entidades que estão utilizando uma versão vulnerável do GHES são aconselhadas a atualizar para a versão mais recente para se proteger contra possíveis ameaças de segurança.