GitHub Enterprise Server 3.20.3؛ وصلهی نقصهای بحرانی
خلاصهٔ کاملتر
GitHub نسخهی ۳.۲۰.۳ از Enterprise Server (GHES) را منتشر کرد که چند آسیبپذیری بحرانی و پرخطر را وصله میکنه؛ نقصهایی که میتونستن به مهاجم اجازهی دسترسی به سرویسهای داخلی، ارتقای دسترسی و استخراج دادهی حساس بدن. این بهروزرسانی یک تغییر امنیتی مهم هم داره: ادمینها باید قبل از اعمال وصله، کلیدهای رمزنگاری امضا را بچرخونن.
جدیترین مشکل، یک آسیبپذیری SSRF پیشازاحراز با شناسهی CVE-2026-9312 است که بهخاطر اعتبارسنجی ناکافی ورودی در یک endpoint آپلود وجود داشت. مهاجمی با دسترسی شبکهای به یک نمونهی GHES میتونست با درخواستهای دستکاریشده به سرویسهای داخلی، اعتبارنامههای حساس را افشا کنه. این نقص از طریق برنامهی Bug Bounty گزارش شد و با اعتبارسنجی سختگیرانهتر پارامترها برطرف شده.
علاوه بر این، GitHub پس از یک بررسی امنیتی کلید امضای بستههای انتشار GHES را باطل کرده و همهی نسخههای آینده با کلید تازه امضا میشن؛ به همین خاطر ادمینها باید پیش از بهروزرسانی کلیدهای عمومی GPG را بچرخونن (یک اسکریپت اختصاصی برای سادهکردن این کار ارائه شده).
مشکلات پرخطر دیگه شامل آسیبپذیریهای ارتقای دسترسی هستهی لینوکس «Dirty Frag» (دسترسی root)، یک ترکیب کانال جانبی زمانبندی و SSRF در قابلیت GitHub Packages که اجازهی استخراج متغیرهای محیطی حساس را میداد (که با حذف کامل endpoint آسیبپذیر برطرف شد)، و یک دور زدن secret-scanning با capture group است. توصیه: این بهروزرسانی را پراولویت بدونید، قبل از وصله کلیدهای GPG را بچرخونید، دسترسی شبکهای به GHES را محدود کنید و قواعد فایروال سفارشی را بعد از ارتقا دوباره اعمال کنید.
نکات کلیدی:
- SSRF پیشازاحراز (CVE-2026-9312) در endpoint آپلود وصله شد
- GitHub کلید امضای قبلی را باطل کرده؛ چرخش GPG قبل از وصله الزامیه
- نقصهای پرخطر دیگر: privesc هستهی لینوکس و استخراج متغیر محیطی از Packages
- توصیه: اولویت بالا، محدودکردن دسترسی شبکهای و اعمال دوبارهی قواعد فایروال




