Krytyczna luka SSRF w GitHub Enterprise Server umożliwiająca ataki na usługi wewnętrzne

Krytyczna luka SSRF w GitHub Enterprise Server umożliwia atakującemu dostęp do usług wewnętrznych. Zalecana natychmiastowa aktualizacja i monitoring bezpieczeństwa.
CVE-2026-9312CVSS 9.2General

Krytyczna luka SSRF w GitHub Enterprise Server umożliwiająca ataki na usługi wewnętrzne

Krytyczna luka SSRF w GitHub Enterprise Server umożliwia atakującemu dostęp do usług wewnętrznych. Zalecana natychmiastowa aktualizacja i monitoring bezpieczeństwa.

CVSS
9.2 CRITICAL
EPSS
92.99%
Aktywnie wykorzystywana
brak w KEV
Produkt
enterprise server

Co wiadomo

W GitHub Enterprise Server wykryto lukę typu SSRF, pozwalającą nieautoryzowanemu atakującemu na wysyłanie spreparowanych żądań do usług wewnętrznych poprzez niewystarczającą walidację danych wejściowych w punkcie przesyłania plików. Luka umożliwia obejście standardowego przepływu żądań i potencjalny dostęp do poufnych danych.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury IT, gdyż umożliwia atakującemu dostęp do wewnętrznych API i poufnych poświadczeń. Może to prowadzić do eskalacji ataku, wycieku danych lub zakłócenia działania usług. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie GitHub Enterprise Server do wersji 3.17.17, 3.18.11, 3.19.8, 3.20.4 lub 3.21.2 bądź nowszych. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanych żądań oraz przeprowadzić przegląd polityk bezpieczeństwa i kontroli dostępu.

Źródła