Recientemente, GitHub ha publicado importantes actualizaciones de seguridad para su plataforma Enterprise Server (GHES). Estas actualizaciones abordan diversas cuestiones, entre las que se incluye un error crítico que podría permitir a un atacante acceder de manera no autorizada a una instancia específica. Esta vulnerabilidad, rastreada como CVE-2024-9487, cuenta con una puntuación CVSS de 9.5 sobre 10, lo que la convierte en una de las más severas detectadas hasta la fecha.
La vulnerabilidad identificada permite que un atacante eluda la autenticación mediante SAML (Security Assertion Markup Language) SSO (Single Sign-On), gracias a una característica opcional de afirmaciones encriptadas. Esto significa que, en manos equivocadas, el acceso no autorizado a datos sensibles de la organización podría estar a la vista, poniendo en riesgo la información confidencial, proyectos y potencialmente los activos de la empresa. Para las empresas que dependen de GHES para gestionar su código fuente y colaboración, esta situación podría generar consecuencias ser