<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: GitHub Enterprise</title>
    <link>https://feed.xonatec.ch/produkte/github-enterprise</link>
    <description>Priorisierte Schwachstellen-Reports für GitHub Enterprise. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/github-enterprise.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2025-30066 — tj-actions/changed-files GitHub Action – Eingebetteter Schadcode</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-30066</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-30066</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die GitHub Action „tj-actions/changed-files” enthielt eingebetteten Schadcode, der bei Verwendung in CI/CD-Pipelines ausgeführt werden konnte. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 91.8 %.

Severity: Aktiv ausgenutzt · EPSS: 91.8% · aktiv ausgenutzt (KEV)

Betroffene Produkte: github-enterprise</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>🔴 CVE-2025-30154 — reviewdog/action-setup GitHub Action – Eingebetteter Schadcode</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-30154</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-30154</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die GitHub Action „reviewdog/action-setup” enthielt eingebetteten Schadcode, der bei Verwendung in CI/CD-Pipelines ausgeführt werden konnte. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 37.1 %.

Severity: Aktiv ausgenutzt · EPSS: 37.1% · aktiv ausgenutzt (KEV)

Betroffene Produkte: github-enterprise</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-0573 — GitHub Enterprise Server – URL-Weiterleitung leakt Autorisierungstoken</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-0573</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-0573</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Enterprise Server wurde eine URL-Weiterleitungsschwachstelle identifiziert, die es Angreifern ermöglicht, über angreiferkontrollierte Weiterleitungen sensible Autorisierungstoken abzugreifen. Die Repository-Pages-API folgt dabei unsicher externen URLs. CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Kritisch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-8034 — GitHub Enterprise Server Notebook Viewer – SSRF via URL-Parser-Verwirrung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8034</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8034</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Notebook-Viewer von GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert. Ein Angreifer kann durch Ausnutzung einer URL-Parser-Verwirrung auf interne Dienste zugreifen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Kritisch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-42523 — Jenkins GitHub Plugin: Stored XSS bei GitHub-Hook-Trigger-Validierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42523</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42523</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Jenkins GitHub Plugin 1.46.0 und früher verarbeitet die aktuelle Job-URL im JavaScript zur Validierung der Funktion „GitHub hook trigger for GITScm polling” unsicher. Dies führt zu einer gespeicherten Cross-Site-Scripting-Lücke (Stored XSS). CVSS-Basiswert: 9.0 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9 · EPSS: 0.0%

Betroffene Produkte: jenkins, github-enterprise</description>
      <category>Kritisch</category><category>Jenkins</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-5845 — GitHub Enterprise Server – Unberechtigter Zugriff auf private Repositories via Scoped Token</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5845</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5845</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Autorisierung bei Scoped-User-to-Server-Token (ghu_) in GitHub Enterprise Server ermöglicht einem authentifizierten Angreifer den Zugriff auf private Repositories ausserhalb des vorgesehenen Berechtigungsbereichs. CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.0%

Betroffene Produkte: github-enterprise</description>
      <category>Kritisch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2025-66389 — GitHub Copilot: Dateizugriff ausserhalb des Workspace über fetch_webpage</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-66389</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-66389</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>GitHub Copilot 1.372.0 erlaubt über einen file-handler-URI-Parameter an fetch_webpage den Dateizugriff ausserhalb eines Workspace-Ordners ohne Nutzerbestätigung, wodurch es zu einem Datenabfluss kommen kann. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.9%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-3854 — GitHub Enterprise Server – Remote Code Execution über Repository-Push</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3854</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3854</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle durch unsachgemässe Neutralisierung von Sonderzeichen in GitHub Enterprise Server ermöglicht einem Angreifer mit Push-Zugriff auf ein Repository die Remote-Ausführung von Code auf dem Server. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.3%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-41249 — CoreShop (Pimcore) – Unsicherer pull_request_target-GitHub-Actions-Workflow</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41249</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41249</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>CoreShop, eine auf Pimcore basierende E-Commerce-Lösung, verwendet in den Versionen 5.0.1 bis 5.1.0-beta.1 im GitHub-Actions-Workflow (.github/workflows/static.yml) den Trigger pull_request_target auf potenziell unsichere Weise. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.2 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-5921 — GitHub Enterprise Server – Server-Side Request Forgery (SSRF)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5921</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5921</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert, die es einem Angreifer ermöglicht, über einen Timing-Seitenkanal sensible Umgebungsvariablen aus der Instanz auszulesen. CVSS-Basiswert: 8.9 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.9 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-9312 — GitHub Enterprise Server – SSRF durch unzureichende Eingabevalidierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9312</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9312</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Enterprise Server wurde eine Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert, die es einem nicht authentifizierten Angreifer ermöglicht, durch unzureichende Eingabevalidierung manipulierte Anfragen an interne Dienste zu senden. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.2 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-29783 — GitHub Copilot CLI – Arbitrary Code Execution durch Bash-Parameter-Expansion</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-29783</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-29783</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Das Shell-Tool in GitHub Copilot CLI bis einschliesslich Version 0.0.422 kann durch speziell präparierte Bash-Parameter-Expansionsmuster zur Ausführung beliebigen Codes missbraucht werden. Ein Angreifer, der den Eingabe-Input beeinflussen kann, ist potenziell betroffen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-7541 — GitHub Enterprise Server – Denial of Service durch tief verschachtelte JSON-Anfragen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7541</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7541</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Enterprise Server wurde eine Denial-of-Service-Schwachstelle identifiziert, die es einem nicht authentifizierten Angreifer ermöglicht, durch das Senden von Anfragen mit tief verschachtelten JSON-Nutzdaten eine Dienstunterbrechung zu verursachen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-4296 — GitHub Enterprise Server – OAuth Redirect URI Bypass</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4296</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4296</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte reguläre Ausdrucksprüfung in GitHub Enterprise Server ermöglicht einem Angreifer die Umgehung der OAuth-Redirect-URI-Validierung. Ein Angreifer mit Kenntnis einer First-Party-OAuth-Anwendung kann diese Schwachstelle ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-48501 — GitHub CLI: Authorization-Header wird fälschlich an TUF-Repository-Mirrors gesendet</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48501</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48501</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die GitHub CLI (gh) vor Version 2.93.0 fügt bei API-Anfragen an TUF-Repository-Mirrors (u. a. über gh attestation und gh release) fälschlicherweise den Authorization-Header ein und kann dadurch Zugangsdaten offenlegen. CVSS-Basiswert: 7.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf GitHub CLI 2.93.0 oder neuer aktualisieren.

Severity: Hoch · CVSS: 7.4 · EPSS: 0.0%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-21516 — GitHub Copilot – Command Injection ermöglicht Remote-Code-Ausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-21516</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-21516</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine unsachgemässe Neutralisierung von Sonderzeichen in Befehlen (Command Injection) in GitHub Copilot ermöglicht einem nicht authentifizierten Angreifer die Remote-Ausführung von Code über ein Netzwerk. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-4821 — GitHub Enterprise Server – OS Command Injection über Management Console</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4821</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4821</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle durch unsachgemässe Neutralisierung von Sonderzeichen in GitHub Enterprise Server ermöglicht einem authentifizierten Management-Console-Administrator die Ausführung beliebiger Betriebssystembefehle. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.0%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-45033 — GitHub Copilot CLI – Schadcode-Ausführung durch manipuliertes Git-Repository</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45033</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45033</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Copilot CLI vor Version 1.0.43 kann ein bösartiges Bare-Git-Repository zur Ausführung von Schadcode führen. Angreifer, die ein solches Repository einschleusen können, sind in der Lage, die Schwachstelle auszunutzen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: github-enterprise</description>
      <category>Hoch</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-50519 — GitHub Copilot / Visual Studio Code: Unsichere Standardinitialisierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-50519</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-50519</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Ressourceninitialisierung mit einem unsicheren Standardwert in GitHub Copilot und Visual Studio Code erlaubt einem nicht autorisierten Angreifer, Informationen über das Netzwerk offenzulegen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.5%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-9132 — GitHub Enterprise Server: Fehlende Autorisierung erlaubt Lesen privater Repositories</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9132</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9132</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Enterprise Server wurde eine Schwachstelle durch fehlende Autorisierung festgestellt, die es einem authentifizierten Nutzer erlaubte, Quellcode aus privaten Repositories zu lesen, auf die er keinen Zugriff hatte. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.3%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-57285 — CVE-2026-57285 – Fehlende Berechtigungsprüfung im GitHub Branch Source Plugin (Jenkins)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-57285</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-57285</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Berechtigungsprüfung im Jenkins GitHub Branch Source Plugin 1967.1969.v205fd594c821 und älter erlaubt Angreifern mit Overall/Read-Berechtigung, die URLs konfigurierter GitHub-Enterprise-Server auszulesen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: das Plugin auf eine bereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.2%

Betroffene Produkte: jenkins, github-enterprise</description>
      <category>Mittel</category><category>Jenkins</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-14340 — GitHub Enterprise Server: Fehlerhafte Autorisierung bei App-Token</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-14340</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-14340</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Autorisierung in GitHub Enterprise Server erlaubte einem User-to-Server-Token, das auf eine GitHub-App-Installation begrenzt war, bestimmte Schreiboperationen auf öffentlichen Ressourcen durchzuführen. Betroffen ist GitHub Enterprise. CVSS-Basiswert: 5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 5 · EPSS: 0.2%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-59831 — GitHub CLI (gh) – Codeausführung über gh codespace jupyter</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-59831</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-59831</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die offizielle GitHub-Kommandozeile (gh) ist in den Versionen 2.10.0 bis 2.95.0 angreifbar: Beim Verbinden mit einem bösartigen Codespace über gh codespace jupyter kann es zur Ausführung von Befehlen kommen. CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: GitHub CLI auf eine Version über 2.95.0 aktualisieren.

Severity: Mittel · CVSS: 4.4 · EPSS: 0.2%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-10585 — GitHub Enterprise Server: Stored Cross-Site-Scripting (XSS)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10585</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10585</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Enterprise Server wurde eine Stored-Cross-Site-Scripting-Schwachstelle identifiziert, die es einem authentifizierten Angreifer durch Einschleusen von Code erlaubt, beliebiges JavaScript im Browser eines anderen Nutzers auszuführen. CVSS-Basiswert: 5.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: verfügbare Sicherheitsupdates von GitHub einspielen.

Severity: Mittel · CVSS: 5.4 · EPSS: 0.2%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-9106 — GitHub Enterprise Server – UI-Falschdarstellung ermöglicht unbeabsichtigten OAuth-Zugriff</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9106</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9106</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Enterprise Server erlaubte eine UI-Falschdarstellung (UI misrepresentation) einer OAuth-Anwendung unbeabsichtigten Zugriff auf die Runner-Verwaltung einer Organisation. Ein Angreifer könnte dies ausnutzen. CVSS-Basiswert: 5.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 5.5 · EPSS: 0.2%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-58489 — HedgeDoc – unzureichende OAuth2-State-Prüfung im GitHub-Gist-Export</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-58489</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-58489</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>HedgeDoc, eine quelloffene Anwendung für kollaborative Markdown-Notizen in Echtzeit, erzeugte im GitHub-Gist-Export-Ablauf vor Version 1.11.0 einen OAuth2-state-Wert, prüfte jedoch nur dessen Vorhandensein statt seiner Gültigkeit. Für diese Schwachstelle liegen in den Quelldaten kein CVSS- und kein EPSS-Wert vor. Empfohlene Massnahme: auf HedgeDoc 1.11.0 oder neuer aktualisieren.

Severity: Mittel · EPSS: 0.1%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-36574 — DLL-Hijacking in CactusViewer v2.3.0 (Wassimulator/GitHub)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-36574</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-36574</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In CactusViewer v2.3.0 (Projekt Wassimulator auf GitHub) besteht eine DLL-Hijacking-Schwachstelle. Angreifer können über eine präparierte DLL ihre Rechte ausweiten und beliebigen Code ausführen. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
    <item>
      <title>CVE-2026-47282 — GitHub Copilot und Visual Studio Code – Offenlegung unzureichend geschützter Zugangsdaten</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-47282</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-47282</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In GitHub Copilot und Visual Studio Code ermöglichen unzureichend geschützte Zugangsdaten einem nicht autorisierten Angreifer, Informationen über das Netzwerk offenzulegen. CVSS-Basiswert: 6.5 (Mittel). Empfohlene Massnahme: die vom Hersteller bereitgestellten Aktualisierungen einspielen.

Severity: Mittel · CVSS: 6.5

Betroffene Produkte: github-enterprise</description>
      <category>Mittel</category><category>GitHub Enterprise</category>
    </item>
  </channel>
</rss>
