O GitHub lançou correções para abordar uma falha de gravidade máxima no GitHub Enterprise Server (GHES) que poderia permitir que um invasor ignorasse as proteções de autenticação. Rastreado como CVE-2024-4985 (CVSS score: 10.0), o problema poderia permitir o acesso não autorizado a uma instância sem exigir autenticação prévia. Em instâncias que usam autenticação de logon único (SSO) SAML com o recurso de assertões criptografadas opcional, um invasor poderia forjar uma resposta SAML para criar e/ou acessar um usuário com privilégios de administrador. GHES é uma plataforma auto-hospedada para desenvolvimento de software, permitindo que organizações armazenem e construam software usando controle de versão Git, além de automatizar o pipeline de implantação. O problema afeta todas as versões do GHES anteriores à 3.13.0 e foi abordado nas versões 3.9.15, 3.10.12, 3.11.10 e 3.12.4. O GitHub também observou que as assertões criptografadas não estão habilitadas por padrão e que a falha não afeta instâncias que não utilizam SSO SAML ou aquelas que usam autenticação SSO SAML sem assertões criptografadas. As assertões criptografadas permitem que os administradores do site melhorem a segurança de uma instância do GHES com SSO SAML, criptografando as mensagens que o provedor de identidade SAML (IdP) envia durante o processo de autenticação. Organizações que estão usando uma versão vulnerável do GHES são recomendadas a atualizar para a versão mais recente para se proteger contra possíveis ameaças de segurança.