Uma vulnerabilidade de segurança crítica no GitHub’s Enterprise Server poderia permitir que atacantes ignorassem a autenticação e obtivessem privilégios administrativos.

A boa notícia é que o bug (CVE-2024-4985, CVSS 10) afeta apenas implementações que usam a abordagem de autenticação de logon único (SSO) SAML com a opção de recursos de afirmações criptografadas habilitada.

Um atacante pode explorar o problema criando uma resposta SAML falsa para provisionar e/ou obter acesso a um usuário com privilégios de administrador do site, de acordo com o aviso de bug.

As versões anteriores do GitHub Enterprise Server antes da 3.13.0 são afetadas; a plataforma de propriedade da Microsoft emitiu uma correção de emergência nas versões 3.9.15, 3.10.12, 3.11.10 e 3.12.4.