GitHub Enterprise Server 存在授权不当漏洞（CVE-2022-46258）

漏洞描述

GitHub Enterprise Server 是一个面向开源及私有软件项目的托管平台，GitHub scope 用于限制 OAuth token 的访问范围。

在 GitHub Enterprise Server 中，除非提交位于同一存储库的不同分支中且和 Workflow files 内容相同的 Workflow 文件 ，否则只有具有 Workflow scope 的用户才可以对 Actions workflow 文件进行添加或修改。

在 GitHub Enterprise Server 的受影响版本中，由于修改 Actions workflow 文件的 api 接口没有验证用户请求中的 workflow scope，具有存储库读写访问权限（repository-scoped）的攻击者可在没有 Workflow scope 的情况下修改 Action Workflow 文件。

影响范围

GitHub Enterprise Server@[3.3.0, 3.3.16)

GitHub Enterprise Server@[3.4.0, 3.4.11)

GitHub Enterprise Server@[3.5.0, 3.5.8)

GitHub Enterprise Server@[3.6.0, 3.6.4)

修复方案

升级GitHub Enterprise Server到 3.3.16 或 3.4.11 或 3.5.8 或 3.6.4 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-65651

https://nvd.nist.gov/vuln/detail/CVE-2022-46258

https://github.com/advisories/GHSA-7x7g-xq59-cqgh

https://docs.github.com/en/enterprise-server@3.3/admin/release-notes#3.3.16

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址：https://www.murphysec.com/

开源地址：https://github.com/murphysecurity/murphysec