Source: https://www.securityweek.com/code-execution-vulnerability-patched-in-github-enterprise-server/
🛡 概要
GitHubは、複数のEnterprise Serverバージョンにおけるリモートコード実行(RCE)脆弱性の修正パッチを展開しました。この脆弱性はCVE-2025-3509として追跡され、CVSSスコアは7.1です。攻撃者は、事前受信フック機能を利用して動的に割り当てられるポートにバインドすることが可能でしたが、特定の運用条件下でのみ悪用が可能であるため、攻撃のウィンドウは限られています。
🔍 技術詳細
この脆弱性は、特にホットパッチングプロセス中に悪用される可能性があり、サイト管理者権限または事前受信フックを含むリポジトリを修正できるユーザー権限が必要です。最初の修正は不完全であり、特定のケースで攻撃者が問題を悪用できる状態を残していました。これにより、CVE-2025-3509の成功した悪用は、攻撃者に任意のコードを実行させ、権限を昇格させることが可能となり、最終的にはシステム全体の侵害につながる可能性があります。GitHubは、この脆弱性がバグバウンティプログラムを通じて報告されたことを明らかにしています。
⚠ 影響
GitHubによると、すべてのEnterprise Serverリリースが3.18以前のバージョンに影響を受けています。具体的には、3.17.1、3.16.4、3.15.8、3.14.13、3.13.16の各バージョンに修正が含まれ、先週展開されました。攻撃者がこの脆弱性を悪用した場合、重大なセキュリティリスクが生じ、企業のデータやシステムが危険にさらされる恐れがあります。
🛠 対策
ユーザーは、速やかにEnterprise Serverを最新バージョンにアップデートし、脆弱性を修正することが強く推奨されます。また、事前受信フックを使用する際には、適切な権限管理を行い、不必要な権限を持つユーザーを制限することが重要です。定期的なセキュリティ監査を実施し、潜在的な脆弱性を早期に発見し対処することが、企業のセキュリティを強化するための鍵となります。
