GitHub Enterprise
GitHub Enterprise gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht GitHub Enterprise kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
28 ReportsZeige 1 bis 28 von 28
-
tj-actions/changed-files GitHub Action – Eingebetteter Schadcode
CVE-2025-30066 Aktiv ausgenutztDie GitHub Action „tj-actions/changed-files” enthielt eingebetteten Schadcode, der bei Verwendung in CI/CD-Pipelines ausgeführt werden konnte. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.8 %.
EPSS: 91.83% Publiziert: Referenz: CISA KEV -
reviewdog/action-setup GitHub Action – Eingebetteter Schadcode
CVE-2025-30154 Aktiv ausgenutztDie GitHub Action „reviewdog/action-setup” enthielt eingebetteten Schadcode, der bei Verwendung in CI/CD-Pipelines ausgeführt werden konnte. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 37.1 %.
EPSS: 37.08% Publiziert: Referenz: CISA KEV -
GitHub Enterprise Server – URL-Weiterleitung leakt Autorisierungstoken
CVE-2026-0573 KritischIn GitHub Enterprise Server wurde eine URL-Weiterleitungsschwachstelle identifiziert, die es Angreifern ermöglicht, über angreiferkontrollierte Weiterleitungen sensible Autorisierungstoken abzugreifen. Die Repository-Pages-API folgt dabei unsicher externen URLs. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.0 EPSS: 0.07% Publiziert: Referenz: NVD -
GitHub Enterprise Server Notebook Viewer – SSRF via URL-Parser-Verwirrung
CVE-2026-8034 KritischIm Notebook-Viewer von GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert. Ein Angreifer kann durch Ausnutzung einer URL-Parser-Verwirrung auf interne Dienste zugreifen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD -
Jenkins GitHub Plugin: Stored XSS bei GitHub-Hook-Trigger-Validierung
CVE-2026-42523 KritischDas Jenkins GitHub Plugin 1.46.0 und früher verarbeitet die aktuelle Job-URL im JavaScript zur Validierung der Funktion „GitHub hook trigger for GITScm polling” unsicher. Dies führt zu einer gespeicherten Cross-Site-Scripting-Lücke (Stored XSS). CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.0 EPSS: 0.05% Publiziert: Referenz: NVD -
GitHub Enterprise Server – Unberechtigter Zugriff auf private Repositories via Scoped Token
CVE-2026-5845 KritischEine fehlerhafte Autorisierung bei Scoped-User-to-Server-Token (ghu_) in GitHub Enterprise Server ermöglicht einem authentifizierten Angreifer den Zugriff auf private Repositories ausserhalb des vorgesehenen Berechtigungsbereichs. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 9.6 EPSS: 0.03% Publiziert: Referenz: NVD -
GitHub Copilot: Dateizugriff ausserhalb des Workspace über fetch_webpage
CVE-2025-66389 HochGitHub Copilot 1.372.0 erlaubt über einen file-handler-URI-Parameter an fetch_webpage den Dateizugriff ausserhalb eines Workspace-Ordners ohne Nutzerbestätigung, wodurch es zu einem Datenabfluss kommen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.
CVSS: 7.5 EPSS: 0.85% Publiziert: Referenz: NVD -
GitHub Enterprise Server – Remote Code Execution über Repository-Push
CVE-2026-3854 HochEine Schwachstelle durch unsachgemässe Neutralisierung von Sonderzeichen in GitHub Enterprise Server ermöglicht einem Angreifer mit Push-Zugriff auf ein Repository die Remote-Ausführung von Code auf dem Server. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 8.8 EPSS: 0.34% Publiziert: Referenz: NVD -
CoreShop (Pimcore) – Unsicherer pull_request_target-GitHub-Actions-Workflow
CVE-2026-41249 HochCoreShop, eine auf Pimcore basierende E-Commerce-Lösung, verwendet in den Versionen 5.0.1 bis 5.1.0-beta.1 im GitHub-Actions-Workflow (.github/workflows/static.yml) den Trigger pull_request_target auf potenziell unsichere Weise. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.2 EPSS: 0.09% Publiziert: Referenz: NVD -
GitHub Enterprise Server – Server-Side Request Forgery (SSRF)
CVE-2026-5921 HochIn GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert, die es einem Angreifer ermöglicht, über einen Timing-Seitenkanal sensible Umgebungsvariablen aus der Instanz auszulesen. CVSS-Basiswert: 8.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.9 EPSS: 0.08% Publiziert: Referenz: NVD -
GitHub Enterprise Server – SSRF durch unzureichende Eingabevalidierung
CVE-2026-9312 HochIn GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert, die es einem nicht authentifizierten Angreifer ermöglicht, durch unzureichende Eingabevalidierung manipulierte Anfragen an interne Dienste zu senden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD -
GitHub Copilot CLI – Arbitrary Code Execution durch Bash-Parameter-Expansion
CVE-2026-29783 HochDas Shell-Tool in GitHub Copilot CLI bis einschliesslich Version 0.0.422 kann durch speziell präparierte Bash-Parameter-Expansionsmuster zur Ausführung beliebigen Codes missbraucht werden. Ein Angreifer, der den Eingabe-Input beeinflussen kann, ist potenziell betroffen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.8 EPSS: 0.07% Publiziert: Referenz: NVD -
GitHub Enterprise Server – Denial of Service durch tief verschachtelte JSON-Anfragen
CVE-2026-7541 HochIn GitHub Enterprise Server wurde eine Denial-of-Service-Schwachstelle identifiziert, die es einem nicht authentifizierten Angreifer ermöglicht, durch das Senden von Anfragen mit tief verschachtelten JSON-Nutzdaten eine Dienstunterbrechung zu verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD -
GitHub Enterprise Server – OAuth Redirect URI Bypass
CVE-2026-4296 HochEine fehlerhafte reguläre Ausdrucksprüfung in GitHub Enterprise Server ermöglicht einem Angreifer die Umgehung der OAuth-Redirect-URI-Validierung. Ein Angreifer mit Kenntnis einer First-Party-OAuth-Anwendung kann diese Schwachstelle ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD -
GitHub CLI: Authorization-Header wird fälschlich an TUF-Repository-Mirrors gesendet
CVE-2026-48501 HochDie GitHub CLI (gh) vor Version 2.93.0 fügt bei API-Anfragen an TUF-Repository-Mirrors (u. a. über gh attestation und gh release) fälschlicherweise den Authorization-Header ein und kann dadurch Zugangsdaten offenlegen. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf GitHub CLI 2.93.0 oder neuer aktualisieren.
CVSS: 7.4 EPSS: 0.04% Publiziert: Referenz: NVD -
GitHub Copilot – Command Injection ermöglicht Remote-Code-Ausführung
CVE-2026-21516 HochEine unsachgemässe Neutralisierung von Sonderzeichen in Befehlen (Command Injection) in GitHub Copilot ermöglicht einem nicht authentifizierten Angreifer die Remote-Ausführung von Code über ein Netzwerk. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD -
GitHub Enterprise Server – OS Command Injection über Management Console
CVE-2026-4821 HochEine Schwachstelle durch unsachgemässe Neutralisierung von Sonderzeichen in GitHub Enterprise Server ermöglicht einem authentifizierten Management-Console-Administrator die Ausführung beliebiger Betriebssystembefehle. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.01% Publiziert: Referenz: NVD -
GitHub Copilot CLI – Schadcode-Ausführung durch manipuliertes Git-Repository
CVE-2026-45033 HochIn GitHub Copilot CLI vor Version 1.0.43 kann ein bösartiges Bare-Git-Repository zur Ausführung von Schadcode führen. Angreifer, die ein solches Repository einschleusen können, sind in der Lage, die Schwachstelle auszunutzen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD -
GitHub Copilot / Visual Studio Code: Unsichere Standardinitialisierung
CVE-2026-50519 MittelEine Ressourceninitialisierung mit einem unsicheren Standardwert in GitHub Copilot und Visual Studio Code erlaubt einem nicht autorisierten Angreifer, Informationen über das Netzwerk offenzulegen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.
CVSS: 6.5 EPSS: 0.51% Publiziert: Referenz: NVD -
GitHub Enterprise Server: Fehlende Autorisierung erlaubt Lesen privater Repositories
CVE-2026-9132 MittelIn GitHub Enterprise Server wurde eine Schwachstelle durch fehlende Autorisierung festgestellt, die es einem authentifizierten Nutzer erlaubte, Quellcode aus privaten Repositories zu lesen, auf die er keinen Zugriff hatte. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.
CVSS: 6.5 EPSS: 0.26% Publiziert: Referenz: NVD -
CVE-2026-57285 – Fehlende Berechtigungsprüfung im GitHub Branch Source Plugin (Jenkins)
CVE-2026-57285 MittelEine fehlende Berechtigungsprüfung im Jenkins GitHub Branch Source Plugin 1967.1969.v205fd594c821 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, die URLs konfigurierter GitHub-Enterprise-Server auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD -
GitHub Enterprise Server: Fehlerhafte Autorisierung bei App-Token
CVE-2026-14340 MittelEine fehlerhafte Autorisierung in GitHub Enterprise Server erlaubte einem User-to-Server-Token, das auf eine GitHub-App-Installation begrenzt war, bestimmte Schreiboperationen auf öffentlichen Ressourcen durchzuführen. Betroffen ist GitHub Enterprise. CVSS-Basiswert: 5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.
CVSS: 5.0 EPSS: 0.21% Publiziert: Referenz: NVD -
GitHub CLI (gh) – Codeausführung über gh codespace jupyter
CVE-2026-59831 MittelDie offizielle GitHub-Kommandozeile (gh) ist in den Versionen 2.10.0 bis 2.95.0 angreifbar: Beim Verbinden mit einem bösartigen Codespace über gh codespace jupyter kann es zur Ausführung von Befehlen kommen. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: GitHub CLI auf eine Version über 2.95.0 aktualisieren.
CVSS: 4.4 EPSS: 0.20% Publiziert: Referenz: NVD -
GitHub Enterprise Server: Stored Cross-Site-Scripting (XSS)
CVE-2026-10585 MittelIn GitHub Enterprise Server wurde eine Stored-Cross-Site-Scripting-Schwachstelle identifiziert, die es einem authentifizierten Angreifer durch Einschleusen von Code erlaubt, beliebiges JavaScript im Browser eines anderen Nutzers auszuführen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: verfügbare Sicherheitsupdates von GitHub einspielen.
CVSS: 5.4 EPSS: 0.18% Publiziert: Referenz: NVD -
GitHub Enterprise Server – UI-Falschdarstellung ermöglicht unbeabsichtigten OAuth-Zugriff
CVE-2026-9106 MittelIn GitHub Enterprise Server erlaubte eine UI-Falschdarstellung (UI misrepresentation) einer OAuth-Anwendung unbeabsichtigten Zugriff auf die Runner-Verwaltung einer Organisation. Ein Angreifer könnte dies ausnutzen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 5.5 EPSS: 0.18% Publiziert: Referenz: NVD -
HedgeDoc – unzureichende OAuth2-State-Prüfung im GitHub-Gist-Export
CVE-2026-58489 MittelHedgeDoc, eine quelloffene Anwendung für kollaborative Markdown-Notizen in Echtzeit, erzeugte im GitHub-Gist-Export-Ablauf vor Version 1.11.0 einen OAuth2-state-Wert, prüfte jedoch nur dessen Vorhandensein statt seiner Gültigkeit. Für diese Schwachstelle liegen in den Quelldaten kein CVSS- und kein EPSS-Wert vor. Empfohlene Massnahme: auf HedgeDoc 1.11.0 oder neuer aktualisieren.
EPSS: 0.13% Publiziert: Referenz: NVD -
DLL-Hijacking in CactusViewer v2.3.0 (Wassimulator/GitHub)
CVE-2026-36574 MittelIn CactusViewer v2.3.0 (Projekt Wassimulator auf GitHub) besteht eine DLL-Hijacking-Schwachstelle. Angreifer können über eine präparierte DLL ihre Rechte ausweiten und beliebigen Code ausführen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
EPSS: 0.02% Publiziert: Referenz: NVD -
GitHub Copilot und Visual Studio Code – Offenlegung unzureichend geschützter Zugangsdaten
CVE-2026-47282 MittelIn GitHub Copilot und Visual Studio Code ermöglichen unzureichend geschützte Zugangsdaten einem nicht autorisierten Angreifer, Informationen über das Netzwerk offenzulegen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: die vom Hersteller bereitgestellten Aktualisierungen einspielen.
CVSS: 6.5 Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für GitHub Enterprise, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.