| Title | GitHubのEnterprise Serverにおけるサーバサイドのリクエストフォージェリの脆弱性 |
|---|---|
| Summary | GitHub Enterprise Serverにおいて、ノートブックレンダリングサービスに対するタイミングサイドチャネル攻撃を通じて、インスタンスから機密の環境変数を抽出可能なサーバーサイドリクエストフォージェリ(SSRF)脆弱性が特定されました。プライベートモードが無効化されている場合、ノートブックビューワーはHTTPリダイレクト先のホストを再検証せずに従い、認証なしで内部サービスへのSSRFを可能にしていました。これにより、内部APIに対する正規表現フィルタークエリと応答時間差の測定を組み合わせて、攻撃者は秘密値を文字ごとに推測できました。攻撃の成立には、プライベートモードが無効であることと、攻撃者がインスタンスのオープンリダイレクトエンドポイントを外部リダイレクト経由で内部サービスにチェーンできることが必要でした。この脆弱性はGitHub Enterprise Serverのバージョン3.21より前のすべてのバージョンに影響を与え、3.14.26、3.15.21、3.16.17、3.17.14、3.18.8、3.19.5、および3.20.1で修正されました。この脆弱性はGitHubバグ報奨金プログラムを通じて報告されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 21, 2026, midnight |
| Registration Date | April 30, 2026, 10:57 a.m. |
| Last Update | April 30, 2026, 10:57 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:L |
| GitHub |
| Enterprise Server 3.14.26 未満 |
| Enterprise Server 3.15.0 以上 3.15.21 未満 |
| Enterprise Server 3.16.0 以上 3.16.17 未満 |
| Enterprise Server 3.17.0 以上 3.17.14 未満 |
| Enterprise Server 3.18.0 以上 3.18.8 未満 |
| Enterprise Server 3.19.0 以上 3.19.5 未満 |
| Enterprise Server 3.20.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 10:57 a.m. |
| Summary | A server-side request forgery (SSRF) vulnerability was identified in GitHub Enterprise Server that allowed an attacker to extract sensitive environment variables from the instance through a timing side-channel attack against the notebook rendering service. When private mode was disabled, the notebook viewer followed HTTP redirects without revalidating the destination host, enabling an unauthenticated SSRF to internal services. By chaining this with regex filter queries against an internal API and measuring response time differences, an attacker could infer secret values character by character. Exploitation required that private mode be disabled and that the attacker be able to chain the instance's open redirect endpoint through an external redirect to reach internal services. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.21 and was fixed in versions 3.14.26, 3.15.21, 3.16.17, 3.17.14, 3.18.8, 3.19.5, and 3.20.1. This vulnerability was reported via the GitHub Bug Bounty program. |
|---|---|
| Publication Date | April 22, 2026, 8:16 a.m. |
| Registration Date | April 25, 2026, 4:04 a.m. |
| Last Update | April 29, 2026, 5:43 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.14.26 | ||||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.15.0 | 3.15.21 | |||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.16.0 | 3.16.17 | |||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.17.0 | 3.17.14 | |||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.18.0 | 3.18.8 | |||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.19.0 | 3.19.5 | |||
| cpe:2.3:a:github:enterprise_server:3.20.0:*:*:*:*:*:*:* | |||||