Er is een onjuiste autorisatiekwetsbaarheid ontdekt in GitHub Enterprise Server, geïdentificeerd als CVE-2025-6981. Hierdoor kunnen onbevoegde gebruikers leesrechten krijgen over de inhoud van interne repositories via contractor-accounts, wanneer de Contractors API-functie is ingeschakeld. Dit lek kan ertoe leiden dat gevoelige informatie zonder uw medeweten openbaar wordt.
Overzicht
Deze kwetsbaarheid werd gevonden in alle versies van GitHub Enterprise Server voor versie 3.18. De kwetsbare versies zijn onder andere:
- 3.14.0 tot 3.14.14
- 3.15.0 tot 3.15.9
- 3.16.0 tot 3.16.5
- 3.17.0 tot 3.17.2
De kwetsbaarheid maakt gebruik van incorrect geconfigureerde toegangscontrole om onbevoegde leesrechten te verkrijgen, geïdentificeerd als CAPEC-180.
Aanbevelingen
Het wordt sterk aangeraden om de GitHub Enterprise Server te upgraden naar minimaal versie 3.14.15, 3.15.10, 3.16.6 of 3.17.3. Deze versies bevatten de benodigde patches om de onjuiste autorisatiekwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-6981?
Dit is een kwetsbaarheid waarbij onbevoegde toegang mogelijk is tot interne repositories door onjuiste autorisatie, specifiek in GitHub Enterprise Server.
Welke systemen zijn kwetsbaar voor CVE-2025-6981?
Alle versies van GitHub Enterprise Server voorafgaand aan 3.18, met name versies 3.14.0 tot 3.17.2.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen in versies 3.14.15, 3.15.10, 3.16.6 en 3.17.3.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw medeweten toegang krijgen tot gevoelige bedrijfsinformatie in interne repositories.
