| Title | GitHubのEnterprise Serverにおける重要な機能に対する認証の欠如に関する脆弱性 |
|---|---|
| Summary | GitHub Enterprise Serverに認証バイパスの脆弱性が確認されました。この脆弱性により、認証されていない攻撃者が外部アイデンティティプロバイダーを回避してローカルユーザーアカウントを作成できる問題が発生していました。外部認証が有効な場合、サインアップエンドポイントが認証制限を適切に強制せず、アイデンティティプロバイダーの検証なしにアカウントの作成とセッションの確立が可能でした。作成されたアカウントはインスタンスで設定されたデフォルトの基本権限に制限されています。悪用するには外部認証プロバイダーが設定されたGHESインスタンスへのネットワークアクセスが必要です。この脆弱性はGitHub Enterprise Serverの3.21未満の全バージョンに影響し、3.20.2、3.19.6、3.18.9、3.17.15、および3.16.18の各バージョンで修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 7, 2026, midnight |
| Registration Date | May 13, 2026, 10:21 a.m. |
| Last Update | May 13, 2026, 10:21 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
| GitHub |
| Enterprise Server 3.16.18 未満 |
| Enterprise Server 3.17.0 以上 3.17.15 未満 |
| Enterprise Server 3.18.0 以上 3.18.9 未満 |
| Enterprise Server 3.19.0 以上 3.19.6 未満 |
| Enterprise Server 3.20.0 以上 3.20.2 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月13日] 掲載 |
May 13, 2026, 10:21 a.m. |
| Summary | An authentication bypass vulnerability was identified in GitHub Enterprise Server that allowed an unauthenticated attacker to create a local user account, bypassing the configured external identity provider. When external authentication was enabled, the signup endpoint did not properly enforce the authentication restriction, allowing account creation and session establishment without identity provider validation. The created account was limited to the default base permissions configured on the instance. Exploitation required network access to a GHES instance configured with an external authentication provider. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.21 and was fixed in versions 3.20.2, 3.19.6, 3.18.9, 3.17.15, and 3.16.18. |
|---|---|
| Publication Date | May 8, 2026, 7:16 a.m. |
| Registration Date | May 9, 2026, 4:11 a.m. |
| Last Update | May 12, 2026, 2:20 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.16.18 | ||||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.17.0 | 3.17.15 | |||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.18.0 | 3.18.9 | |||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.19.0 | 3.19.6 | |||
| cpe:2.3:a:github:enterprise_server:*:*:*:*:*:*:*:* | 3.20.0 | 3.20.2 | |||