NCSC-2026-0219 [1.00] [M/H] Kwetsbaarheden verholpen in GitHub Enterprise Server

GitHub heeft meerdere kwetsbaarheden verholpen in GitHub Enterprise Server, specifiek in versies vóór 3.21 en 3.22. De eerste kwetsbaarheid betreft een stored cross-site scripting (XSS) waarbij geauthenticeerde aanvallers kwaadaardige JavaScript-payloads kunnen injecteren in Discussion-titels. Deze scripts worden uitgevoerd in de context van andere gebruikers die de betreffende discussies bekijken. De tweede kwetsbaarheid is een UI-misrepresentatie waarbij het OAuth-scope manage_runners:org verborgen werd op het toestemmingsscherm, waardoor OAuth-applicaties onbedoeld toegang konden krijgen tot organisatie runner management functies. De derde kwetsbaarheid betreft een ontbrekende autorisatie, waardoor geauthenticeerde gebruikers toegang konden krijgen tot broncode van private repositories waar zij geen rechten voor hadden, via het Copilot pull request description diff summary endpoint.
ncsc
03-07-2026 10:21