GitHub Enterprise Server hat kritische SSRF, die interne Anmeldeinformationen exponiert (CVE-2026-9312)
Eine Authentifizierungsschwäche im GitHub Enterprise Server erhielt 9,2 im CVSS und ermöglicht die Umleitung interner Anfragen zum Auslesen von Anmeldeinformationen. Korrekturen sind in den Builds 3.16.20, 3.17.17, 3.18.11 und 3.19.8 verfügbar.
GitHub hat eine kritische Schwachstelle für Server-seitige Anfragenfälschung (SSRF) im GitHub Enterprise Server behoben, der selbstgehosteten Edition, die Banken, Fintechs und öffentliche Einrichtungen in ihrem eigenen Rechenzentrum betreiben, um den Code unter Kontrolle zu halten. Die Schwachstelle ist als CVE-2026-9312 katalogisiert und wurde von GitHub selbst am 27. Mai veröffentlicht. Die Schwachstelle erhielt eine Bewertung von 9,2 im CVSS 4.0 und ermöglicht es einem nicht authentifizierten Angreifer, den Server zu zwingen, Anfragen an interne Dienste abzusetzen, mit dem Potenzial, Anmeldeinformationen offenzulegen.
Wie die Schwachstelle funktioniert
Der Einstiegspunkt ist ein Upload-Endpunkt, der die empfangenen Daten schlecht validiert. Durch das Injizieren von Pfad-Traversal-Zeichenfolgen in die Anfrageparameter unterbricht der Angreifer den vorgesehenen Fluss und leitet interne API-Anfragen an Ziele um, die unter seiner Kontrolle stehen, das klassische Muster von SSRF, das als CWE-918 registriert ist. Ab diesem Punkt ist es, laut den Informationen, die von GitHub veröffentlicht wurden, möglich, auf interne Dienste zuzugreifen und sensible Anmeldeinformationen offenzulegen.
Der CVSS-Vektor erledigt den Rest. Die Schwachstelle erfordert keine Berechtigungen (PR:N) und keine Benutzerinteraktion (UI:N), was sie von der Netzwerkkante aus zugänglich macht, erfordert jedoch spezifische Bedingungen im Umfeld: Der Schwellenwert für die Komplexität ist hoch (AC:H) und es sind Angriffsbedingungen vorhanden (AT:P). Wenn diese Bedingungen erfüllt sind, ist die Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems in allen drei Achsen hoch (VC:H/VI:H/VA:H). Es ist die Summe aus dem Zugriff ohne Anmeldeinformationen und der Gesamtwirkung, die die 9,2 stützt.
SSRF-Schwachstellen sind das wiederkehrende Übel von öffentlich zugänglichen Unternehmensanwendungen, da sie den Server zu einem Vertreter des Angreifers machen: Wer mit dem externen System kommuniziert, kommuniziert, indirekt, mit allem, was das System intern sieht. In einem Produkt, das Quellcode orchestriert, umfasst diese "interne Sicht" genau das, was niemand sehen möchte, dass es abfließt.
Welche Versionen einen Patch benötigen
Vier Release-Zweige sind betroffen: von 3.16.0 bis 3.16.19, von 3.17.0 bis 3.17.16, von 3.18.0 bis 3.18.10 und von 3.19.0 bis 3.19.7. Die Korrekturen sind in den Versionen 3.16.20, 3.17.17, 3.18.11 und 3.19.8 erschienen, die in den Release-Notizen der Plattform-Administration aufgeführt sind. Installationen in jeder vorherigen Version innerhalb dieser Bereiche bleiben betroffen.
Hier ist das betriebliche Detail, das den GitHub Enterprise Server von der öffentlichen GitHub-Cloud trennt: Das Update ist die Verantwortung des Kunden. Es gibt keinen stillen Patch, der vom Anbieter während der Nacht angewendet wird. Die Uhr für die Behebung beginnt im Infrastrukturteam jedes Unternehmens zu ticken, und jeder Tag der Verzögerung ist ein weiterer Tag des Risikos.
Was sich für Brasilien ändert
Die brasilianische Betrachtung hängt davon ab, wo GHES typischerweise installiert wird. Unternehmen, die das Repository nicht in die GitHub-Cloud übergeben können oder wollen, wie Banken, Versicherungen, Regierungsintegratoren und IT-Beratungsunternehmen, die den Code regulierter Kunden verwalten, behalten die selbstgehostete Version, um das Repository im Perimeter zu halten und Anforderungen an die Datenansiedlung gemäß LGPD und den Normen der Zentralbank zu erfüllen. Der Nebeneffekt ist, dass viele dieser Instanzen über das Internet zugänglich sind, um Remote-Arbeit und Integration mit Liefer-Pipelines zu ermöglichen.
Eine SSRF ohne Authentifizierung hat in diesem Kontext ein höheres Gewicht als der Durchschnitt. Der GitHub Enterprise Server ist eng mit CI/CD-Geheimnissen, Build-Runners und internen Artefakt-Registries verbunden. Eine über diesen Weg geleakte Anmeldeinformation öffnet nicht nur ein Repository: Sie öffnet die Pipeline, die die Software für die Produktion kompiliert und verpackt. Für eine Beratungsfirma, die den Code von Dutzenden Kunden auf derselben Instanz hostet, ist die Rechnung des Einflussbereichs unmittelbar, und der Vorfall eines wird zum Vorfall aller.
Die praktische Empfehlung hängt nicht von einer beobachteten Ausnutzung ab. Vor-Authentifizierungsschwachstellen, die über das Netzwerk erreicht werden können, stehen definitionsgemäß ganz oben auf der Liste, und das Fenster zwischen der Veröffentlichung der Warnung und der massenhaften Überprüfung exponierter Server wird in der Regel in Tagen gemessen. Wer GHES betreibt, der auf das Internet ausgerichtet ist, sollte die Umstellung auf die korrigierte Version als Aufgabe der Woche betrachten und parallel dazu überprüfen, welche Diensttokens in Reichweite des verwundbaren Endpunkts standen. Der Patch schließt die Tür; die Rotation der Anmeldeinformationen beantwortet die Frage, die der Patch nicht beantwortet, nämlich die, wer bereits darüber hinweggekommen ist.