Lỗ hổng thực thi mã từ xa đã được vá trong GitHub Enterprise Server

12:40, 03/07/2025

Vừa qua, GitHub đã cập nhật bản vá để khắc phục lỗ hổng thực thi mã từ xa (RCE) trong nhiều phiên bản Enterprise Server.

Được theo dõi với tên gọi CVE-2025-3509 (điểm CVSS: 7.1), lỗ hổng này có thể cho phép kẻ tấn công khai thác pre-receive hook (đây là một loại Git hook, là một tập lệnh được thực thi trên máy chủ Git trước khi bất kỳ thay đổi nào được áp dụng vào kho repository đích, khi một người dùng đẩy dữ liệu lên) để liên kết với các cổng động và có sẵn.

GitHub giải thích: “Lỗ hổng CVE-2025-3509 chỉ có thể khai thác trong các điều kiện hoạt động cụ thể, chẳng hạn như trong quá trình vá lỗi nóng (hot patching) và yêu cầu quyền của quản trị viên trang web hoặc người dùng có đặc quyền để sửa đổi kho lưu trữ có chứa pre-receive hooks”.

Nền tảng thuộc sở hữu của Microsoft cho biết bản cập nhật bảo mật ban đầu vẫn còn lỗi, do đó kẻ tấn công có thể khai thác trong một số trường hợp nhất định, ngay sau đó GitHub đã phát hành bản vá mới. Việc khai thác thành công CVE-2025-3509 có thể cho phép kẻ tấn công thực thi mã tùy ý và leo thang đặc quyền, có khả năng dẫn đến xâm phạm toàn bộ hệ thống.

Theo GitHub, tất cả các bản phát hành Enterprise Server trước 3.18 đều bị ảnh hưởng. Các bản vá lỗi để giải quyết lỗ hổng này đã được cập nhật trong Enterprise Server với các phiên bản 3.17.1, 3.16.4, 3.15.8, 3.14.13 và 3.13.16.

GitHub cho biết lỗ hổng bảo mật này đã được báo cáo thông qua chương trình bug bounty và không đề cập đến việc khai thác lỗ hổng trong thực tế.

Từ khóa: lỗ hổng bảo mậtMicrosoftdữ liệu

Bài khác

Lỗ hổng thực thi mã từ xa đã được vá trong GitHub Enterprise Server Lỗ hổng thực thi mã từ xa đã được vá trong GitHub Enterprise Server
12:40 pm, 03/07/2025
Hà Nội có hơn 55.000 camera an ninh đang hoạt động Hà Nội có hơn 55.000 camera an ninh đang hoạt động
10:51 am, 03/07/2025
Cảnh báo rò rỉ thông tin khi chia sẻ căn cước từ VNeID lên Facebook Cảnh báo rò rỉ thông tin khi chia sẻ căn cước từ VNeID lên Facebook
10:20 am, 03/07/2025
Thiếu giải pháp đồng bộ, doanh nghiệp trở thành mục tiêu của tấn công mạng Thiếu giải pháp đồng bộ, doanh nghiệp trở thành mục tiêu của tấn công mạng
07:00 am, 03/07/2025
Làm sao để tăng hiệu quả bảo mật môi trường đa đám mây? Làm sao để tăng hiệu quả bảo mật môi trường đa đám mây?
05:35 pm, 02/07/2025
Cảnh báo một số thủ đoạn lừa đảo mới trên không gian mạng tại Việt Nam và biện pháp phòng ngừa Cảnh báo một số thủ đoạn lừa đảo mới trên không gian mạng tại Việt Nam và biện pháp phòng ngừa
02:32 pm, 02/07/2025
Hà Nội: Kịp thời ngăn chặn hành vi giả danh công an lừa đảo cụ bà 71 tuổi Hà Nội: Kịp thời ngăn chặn hành vi giả danh công an lừa đảo cụ bà 71 tuổi
09:12 am, 02/07/2025
Bộ Công an chỉ ra những hình thức lừa đảo công nghệ cao phổ biến nhất hiện nay Bộ Công an chỉ ra những hình thức lừa đảo công nghệ cao phổ biến nhất hiện nay
05:21 pm, 01/07/2025
AI đang xóa nhòa rào cản ngôn ngữ trong các cuộc tấn công mạng AI đang xóa nhòa rào cản ngôn ngữ trong các cuộc tấn công mạng
09:32 am, 01/07/2025
Cảnh báo chiến dịch độc hại OneClik lạm dụng Microsoft ClickOnce và AWS Cảnh báo chiến dịch độc hại OneClik lạm dụng Microsoft ClickOnce và AWS
02:35 pm, 30/06/2025

Bài mới nhất

Lỗ hổng thực thi mã từ xa đã được vá trong GitHub Enterprise Server Lỗ hổng thực thi mã từ xa đã được vá trong GitHub Enterprise Server
Mỹ cảnh báo về các mối đe dọa mạng của Iran đối với cơ sở hạ tầng quan trọng Mỹ cảnh báo về các mối đe dọa mạng của Iran đối với cơ sở hạ tầng quan trọng
OpenAI cảnh báo việc bán cổ phần token hóa trên Robinhood là trái phép OpenAI cảnh báo việc bán cổ phần token hóa trên Robinhood là trái phép
Xuất hiện tình trạng mạo danh là giảng viên đại học lừa đảo đặt mua hàng Xuất hiện tình trạng mạo danh là giảng viên đại học lừa đảo đặt mua hàng
Hà Nội: Vé liên thông - Bước đột phá trong kết nối giao thông công cộng Thủ đô Hà Nội: Vé liên thông - Bước đột phá trong kết nối giao thông công cộng Thủ đô
Công ty Cổ phần Nhiệt điện Quảng Ninh tổ chức khóa đào tạo ứng dụng trí tuệ nhân tạo (AI) trong công việc Công ty Cổ phần Nhiệt điện Quảng Ninh tổ chức khóa đào tạo ứng dụng trí tuệ nhân tạo (AI) trong công việc
M-TALKS 2025: Việt Nam sẵn sàng cho cuộc chuyển đổi lớn ngành điện tử M-TALKS 2025: Việt Nam sẵn sàng cho cuộc chuyển đổi lớn ngành điện tử
Luật Tiêu chuẩn và Quy chuẩn kỹ thuật (sửa đổi) trao quyền, tạo thuận lợi cho doanh nghiệp và địa phương Luật Tiêu chuẩn và Quy chuẩn kỹ thuật (sửa đổi) trao quyền, tạo thuận lợi cho doanh nghiệp và địa phương
Nhiệm vụ, quyền hạn của Phòng Văn hóa - Xã hội thuộc UBND cấp xã về lĩnh vực thuộc phạm vi quản lý nhà nước của Bộ Khoa học và Công nghệ Nhiệm vụ, quyền hạn của Phòng Văn hóa - Xã hội thuộc UBND cấp xã về lĩnh vực thuộc phạm vi quản lý nhà nước của Bộ Khoa học và Công nghệ
Hà Nội có hơn 55.000 camera an ninh đang hoạt động Hà Nội có hơn 55.000 camera an ninh đang hoạt động
Tổng thống Donald Trump lên tiếng sau cuộc điện đàm với Tổng Bí thư Tô Lâm Tổng thống Donald Trump lên tiếng sau cuộc điện đàm với Tổng Bí thư Tô Lâm
CMC Telecom và Moreh hợp tác phát triển hạ tầng AI ở Việt Nam CMC Telecom và Moreh hợp tác phát triển hạ tầng AI ở Việt Nam
Cảnh báo rò rỉ thông tin khi chia sẻ căn cước từ VNeID lên Facebook Cảnh báo rò rỉ thông tin khi chia sẻ căn cước từ VNeID lên Facebook
Đánh giá camera Galaxy Z Flip 7 khi chụp ảnh thiếu sáng: Liệu có đủ sức thuyết phục? Đánh giá camera Galaxy Z Flip 7 khi chụp ảnh thiếu sáng: Liệu có đủ sức thuyết phục?
Doanh nghiệp đăng ký thành lập mới trong tháng 6 tăng kỷ lục Doanh nghiệp đăng ký thành lập mới trong tháng 6 tăng kỷ lục