Крупнейший веб-сервис GitHub поменял ключи, потенциально подверженные уязвимости, исправленной в декабре, которая могла позволить злоумышленникам получить доступ к учётным данным в производственных контейнерах через переменные среды.

Эта уязвимость небезопасного отражения (отслеживаемая как CVE-2024-0200) может позволить злоумышленникам получить удалённое выполнение кода на неисправленных серверах.

Это также было исправлено в GitHub Enterprise Server (GHES) версий 3.8.13, 3.9.8, 3.10.5 и 3.11.3, при этом компания призвала всех клиентов установить обновление безопасности как можно скорее.

Хотя злоумышленники получают доступ к переменным среды производственного контейнера, включая учётные данные, успешная эксплуатация требует аутентификации с ролью владельца организации (с доступом администратора к организации).

GitHub также исправил вторую серьёзную уязвимость внедрения команд Enterprise Server (CVE-2024-0507), которая позволяла злоумышленникам использовать учётную запись пользователя консоли управления с ролью редактора для повышения привилегий.

Это не первый раз, когда компании приходится менять, а также отзывать раскрытые или украденные секреты за последний год.