1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

GitHub Enterprise

Server-Software, Middleware, Web

GitHub Enterprise gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht GitHub Enterprise kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

28
Reports
2
Aktiv ausgenutzt
Kritisch
Höchste Priorität
91.8%
Max. EPSS

Schwachstellen-Reports

28 Reports

Zeige 1 bis 28 von 28

  1. tj-actions/changed-files GitHub Action – Eingebetteter Schadcode

    CVE-2025-30066 Aktiv ausgenutzt

    Die GitHub Action „tj-actions/changed-files” enthielt eingebetteten Schadcode, der bei Verwendung in CI/CD-Pipelines ausgeführt werden konnte. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.8 %.

    EPSS: 91.83% Publiziert: Referenz: CISA KEV
  2. reviewdog/action-setup GitHub Action – Eingebetteter Schadcode

    CVE-2025-30154 Aktiv ausgenutzt

    Die GitHub Action „reviewdog/action-setup” enthielt eingebetteten Schadcode, der bei Verwendung in CI/CD-Pipelines ausgeführt werden konnte. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 37.1 %.

    EPSS: 37.08% Publiziert: Referenz: CISA KEV
  3. GitHub Enterprise Server – URL-Weiterleitung leakt Autorisierungstoken

    CVE-2026-0573 Kritisch

    In GitHub Enterprise Server wurde eine URL-Weiterleitungsschwachstelle identifiziert, die es Angreifern ermöglicht, über angreiferkontrollierte Weiterleitungen sensible Autorisierungstoken abzugreifen. Die Repository-Pages-API folgt dabei unsicher externen URLs. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.0 EPSS: 0.07% Publiziert: Referenz: NVD
  4. GitHub Enterprise Server Notebook Viewer – SSRF via URL-Parser-Verwirrung

    CVE-2026-8034 Kritisch

    Im Notebook-Viewer von GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert. Ein Angreifer kann durch Ausnutzung einer URL-Parser-Verwirrung auf interne Dienste zugreifen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.06% Publiziert: Referenz: NVD
  5. Jenkins GitHub Plugin: Stored XSS bei GitHub-Hook-Trigger-Validierung

    CVE-2026-42523 Kritisch

    Das Jenkins GitHub Plugin 1.46.0 und früher verarbeitet die aktuelle Job-URL im JavaScript zur Validierung der Funktion „GitHub hook trigger for GITScm polling” unsicher. Dies führt zu einer gespeicherten Cross-Site-Scripting-Lücke (Stored XSS). CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.0 EPSS: 0.05% Publiziert: Referenz: NVD
  6. GitHub Enterprise Server – Unberechtigter Zugriff auf private Repositories via Scoped Token

    CVE-2026-5845 Kritisch

    Eine fehlerhafte Autorisierung bei Scoped-User-to-Server-Token (ghu_) in GitHub Enterprise Server ermöglicht einem authentifizierten Angreifer den Zugriff auf private Repositories ausserhalb des vorgesehenen Berechtigungsbereichs. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 9.6 EPSS: 0.03% Publiziert: Referenz: NVD
  7. GitHub Copilot: Dateizugriff ausserhalb des Workspace über fetch_webpage

    CVE-2025-66389 Hoch

    GitHub Copilot 1.372.0 erlaubt über einen file-handler-URI-Parameter an fetch_webpage den Dateizugriff ausserhalb eines Workspace-Ordners ohne Nutzerbestätigung, wodurch es zu einem Datenabfluss kommen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.

    CVSS: 7.5 EPSS: 0.85% Publiziert: Referenz: NVD
  8. GitHub Enterprise Server – Remote Code Execution über Repository-Push

    CVE-2026-3854 Hoch

    Eine Schwachstelle durch unsachgemässe Neutralisierung von Sonderzeichen in GitHub Enterprise Server ermöglicht einem Angreifer mit Push-Zugriff auf ein Repository die Remote-Ausführung von Code auf dem Server. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 8.8 EPSS: 0.34% Publiziert: Referenz: NVD
  9. CoreShop (Pimcore) – Unsicherer pull_request_target-GitHub-Actions-Workflow

    CVE-2026-41249 Hoch

    CoreShop, eine auf Pimcore basierende E-Commerce-Lösung, verwendet in den Versionen 5.0.1 bis 5.1.0-beta.1 im GitHub-Actions-Workflow (.github/workflows/static.yml) den Trigger pull_request_target auf potenziell unsichere Weise. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.09% Publiziert: Referenz: NVD
  10. GitHub Enterprise Server – Server-Side Request Forgery (SSRF)

    CVE-2026-5921 Hoch

    In GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert, die es einem Angreifer ermöglicht, über einen Timing-Seitenkanal sensible Umgebungsvariablen aus der Instanz auszulesen. CVSS-Basiswert: 8.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.9 EPSS: 0.08% Publiziert: Referenz: NVD
  11. GitHub Enterprise Server – SSRF durch unzureichende Eingabevalidierung

    CVE-2026-9312 Hoch

    In GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert, die es einem nicht authentifizierten Angreifer ermöglicht, durch unzureichende Eingabevalidierung manipulierte Anfragen an interne Dienste zu senden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.2 EPSS: 0.07% Publiziert: Referenz: NVD
  12. GitHub Copilot CLI – Arbitrary Code Execution durch Bash-Parameter-Expansion

    CVE-2026-29783 Hoch

    Das Shell-Tool in GitHub Copilot CLI bis einschliesslich Version 0.0.422 kann durch speziell präparierte Bash-Parameter-Expansionsmuster zur Ausführung beliebigen Codes missbraucht werden. Ein Angreifer, der den Eingabe-Input beeinflussen kann, ist potenziell betroffen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.8 EPSS: 0.07% Publiziert: Referenz: NVD
  13. GitHub Enterprise Server – Denial of Service durch tief verschachtelte JSON-Anfragen

    CVE-2026-7541 Hoch

    In GitHub Enterprise Server wurde eine Denial-of-Service-Schwachstelle identifiziert, die es einem nicht authentifizierten Angreifer ermöglicht, durch das Senden von Anfragen mit tief verschachtelten JSON-Nutzdaten eine Dienstunterbrechung zu verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.5 EPSS: 0.06% Publiziert: Referenz: NVD
  14. GitHub Enterprise Server – OAuth Redirect URI Bypass

    CVE-2026-4296 Hoch

    Eine fehlerhafte reguläre Ausdrucksprüfung in GitHub Enterprise Server ermöglicht einem Angreifer die Umgehung der OAuth-Redirect-URI-Validierung. Ein Angreifer mit Kenntnis einer First-Party-OAuth-Anwendung kann diese Schwachstelle ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD
  15. GitHub CLI: Authorization-Header wird fälschlich an TUF-Repository-Mirrors gesendet

    CVE-2026-48501 Hoch

    Die GitHub CLI (gh) vor Version 2.93.0 fügt bei API-Anfragen an TUF-Repository-Mirrors (u. a. über gh attestation und gh release) fälschlicherweise den Authorization-Header ein und kann dadurch Zugangsdaten offenlegen. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf GitHub CLI 2.93.0 oder neuer aktualisieren.

    CVSS: 7.4 EPSS: 0.04% Publiziert: Referenz: NVD
  16. GitHub Copilot – Command Injection ermöglicht Remote-Code-Ausführung

    CVE-2026-21516 Hoch

    Eine unsachgemässe Neutralisierung von Sonderzeichen in Befehlen (Command Injection) in GitHub Copilot ermöglicht einem nicht authentifizierten Angreifer die Remote-Ausführung von Code über ein Netzwerk. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.03% Publiziert: Referenz: NVD
  17. GitHub Enterprise Server – OS Command Injection über Management Console

    CVE-2026-4821 Hoch

    Eine Schwachstelle durch unsachgemässe Neutralisierung von Sonderzeichen in GitHub Enterprise Server ermöglicht einem authentifizierten Management-Console-Administrator die Ausführung beliebiger Betriebssystembefehle. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.2 EPSS: 0.01% Publiziert: Referenz: NVD
  18. GitHub Copilot CLI – Schadcode-Ausführung durch manipuliertes Git-Repository

    CVE-2026-45033 Hoch

    In GitHub Copilot CLI vor Version 1.0.43 kann ein bösartiges Bare-Git-Repository zur Ausführung von Schadcode führen. Angreifer, die ein solches Repository einschleusen können, sind in der Lage, die Schwachstelle auszunutzen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.01% Publiziert: Referenz: NVD
  19. GitHub Copilot / Visual Studio Code: Unsichere Standardinitialisierung

    CVE-2026-50519 Mittel

    Eine Ressourceninitialisierung mit einem unsicheren Standardwert in GitHub Copilot und Visual Studio Code erlaubt einem nicht autorisierten Angreifer, Informationen über das Netzwerk offenzulegen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

    CVSS: 6.5 EPSS: 0.51% Publiziert: Referenz: NVD
  20. GitHub Enterprise Server: Fehlende Autorisierung erlaubt Lesen privater Repositories

    CVE-2026-9132 Mittel

    In GitHub Enterprise Server wurde eine Schwachstelle durch fehlende Autorisierung festgestellt, die es einem authentifizierten Nutzer erlaubte, Quellcode aus privaten Repositories zu lesen, auf die er keinen Zugriff hatte. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 6.5 EPSS: 0.26% Publiziert: Referenz: NVD
  21. CVE-2026-57285 – Fehlende Berechtigungsprüfung im GitHub Branch Source Plugin (Jenkins)

    CVE-2026-57285 Mittel

    Eine fehlende Berechtigungsprüfung im Jenkins GitHub Branch Source Plugin 1967.1969.v205fd594c821 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, die URLs konfigurierter GitHub-Enterprise-Server auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.22% Publiziert: Referenz: NVD
  22. GitHub Enterprise Server: Fehlerhafte Autorisierung bei App-Token

    CVE-2026-14340 Mittel

    Eine fehlerhafte Autorisierung in GitHub Enterprise Server erlaubte einem User-to-Server-Token, das auf eine GitHub-App-Installation begrenzt war, bestimmte Schreiboperationen auf öffentlichen Ressourcen durchzuführen. Betroffen ist GitHub Enterprise. CVSS-Basiswert: 5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 5.0 EPSS: 0.21% Publiziert: Referenz: NVD
  23. GitHub CLI (gh) – Codeausführung über gh codespace jupyter

    CVE-2026-59831 Mittel

    Die offizielle GitHub-Kommandozeile (gh) ist in den Versionen 2.10.0 bis 2.95.0 angreifbar: Beim Verbinden mit einem bösartigen Codespace über gh codespace jupyter kann es zur Ausführung von Befehlen kommen. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: GitHub CLI auf eine Version über 2.95.0 aktualisieren.

    CVSS: 4.4 EPSS: 0.20% Publiziert: Referenz: NVD
  24. GitHub Enterprise Server: Stored Cross-Site-Scripting (XSS)

    CVE-2026-10585 Mittel

    In GitHub Enterprise Server wurde eine Stored-Cross-Site-Scripting-Schwachstelle identifiziert, die es einem authentifizierten Angreifer durch Einschleusen von Code erlaubt, beliebiges JavaScript im Browser eines anderen Nutzers auszuführen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: verfügbare Sicherheitsupdates von GitHub einspielen.

    CVSS: 5.4 EPSS: 0.18% Publiziert: Referenz: NVD
  25. GitHub Enterprise Server – UI-Falschdarstellung ermöglicht unbeabsichtigten OAuth-Zugriff

    CVE-2026-9106 Mittel

    In GitHub Enterprise Server erlaubte eine UI-Falschdarstellung (UI misrepresentation) einer OAuth-Anwendung unbeabsichtigten Zugriff auf die Runner-Verwaltung einer Organisation. Ein Angreifer könnte dies ausnutzen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 5.5 EPSS: 0.18% Publiziert: Referenz: NVD
  26. HedgeDoc – unzureichende OAuth2-State-Prüfung im GitHub-Gist-Export

    CVE-2026-58489 Mittel

    HedgeDoc, eine quelloffene Anwendung für kollaborative Markdown-Notizen in Echtzeit, erzeugte im GitHub-Gist-Export-Ablauf vor Version 1.11.0 einen OAuth2-state-Wert, prüfte jedoch nur dessen Vorhandensein statt seiner Gültigkeit. Für diese Schwachstelle liegen in den Quelldaten kein CVSS- und kein EPSS-Wert vor. Empfohlene Massnahme: auf HedgeDoc 1.11.0 oder neuer aktualisieren.

    EPSS: 0.13% Publiziert: Referenz: NVD
  27. DLL-Hijacking in CactusViewer v2.3.0 (Wassimulator/GitHub)

    CVE-2026-36574 Mittel

    In CactusViewer v2.3.0 (Projekt Wassimulator auf GitHub) besteht eine DLL-Hijacking-Schwachstelle. Angreifer können über eine präparierte DLL ihre Rechte ausweiten und beliebigen Code ausführen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    EPSS: 0.02% Publiziert: Referenz: NVD
  28. GitHub Copilot und Visual Studio Code – Offenlegung unzureichend geschützter Zugangsdaten

    CVE-2026-47282 Mittel

    In GitHub Copilot und Visual Studio Code ermöglichen unzureichend geschützte Zugangsdaten einem nicht autorisierten Angreifer, Informationen über das Netzwerk offenzulegen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: die vom Hersteller bereitgestellten Aktualisierungen einspielen.

    CVSS: 6.5 Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für GitHub Enterprise, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog