깃허브 엔터프라이즈 서버(GHES)에서 무단으로 다른 사용자의 인스턴스에 접근할 수 있는 최고 수준의 보안 위협이 발견됐다.
깃허브 측은 해당 취약점에 대한 문제를 해결했으며, 취약한 버전의 GHES를 사용하는 조직은 최신 버전으로 업데이트할 것을 권고했다.
21일(현지시간) 해커뉴스 등 외신에 따르면 깃허브는 미국 국립표준기술연구소(NIST)의 국가 취약점 데이터베이스를 통해 취약점에 대한 세부 정보를 공개했다.
CVE-2024-4985라고 명명된 해당 취약점은 CVSS 점수 10점으로 가장 심각한 위협 수준을 기록했다.
공개된 내용에 따르면 이 취약점은 SAML 싱글사인온(SSO) 인증 과정에서 위조한 인증으로 사이트 관리자 권한을 탈취하는 방식이다. 이를 통해 추가 인증 없이 다른 사용자의 인스턴스에 무단으로 접근하는 것이 가능해진다.
관련기사
- 마이크로소프트, '깃허브 코파일럿 익스텐션' 출시2024.05.22
- "AI 모델 순위 매기는 '리더보드'는 과장됐다"2024.03.26
- 에버스핀, 기업 간 분쟁 촉발하는 데이터 스크래핑 4천만건 해결2024.05.17
- "2년 넘게 몰랐다"…北에 1TB 정보 털린 대법원, 내용 파악 '0.5%' 불과2024.05.13
깃허브 측은 해당 취약점이 지난 달 버그바운티 프로그램을 통해 보고된 것이라며 3.13.0 이전 모든 GHES 버전에 영향을 미쳤다고 밝혔다.
또한 개선 작업을 통해 지난달 25일 3.9.15, 3.10.12, 3.11.10 및 3.12.4 버전에서 해당 취약점에 대한 수정작업을 마쳤다며, 이전 버전을 사용 중인 조직은 잠재적인 보안 위협을 제거할 수 있도록 최신 버전으로 업데이트할 필요가 있다고 권고했다.
