BDU:2026-00213

Опубликовано: 25 июн. 2025

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость функции GitHub.repo() пакета для работы с GitHub на языке Julia GitHub.jl связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к любым другим конечным точкам

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

GitHub.jl

Версия ПО

до 5.9.0 включительно (GitHub.jl)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)

Средний уровень опасности (оценка CVSS 4.0 составляет 6,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://github.com/JuliaWeb/GitHub.jl/pull/224

https://github.com/JuliaWeb/GitHub.jl/security/advisories/GHSA-jg9p-c3wh-q83x

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 37%

0.0016

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2025-52569

nvd

8 месяцев назад

GitForge.jl is a unified interface for interacting with Git "forges." Versions prior to 5.9.1 lack input validation of input validation for user-provided values in certain functions. In the `GitHub.repo()` function, the user can provide any string for the `repo_name` field. These inputs are not validated or safely encoded and are sent directly to the server. This means a user can add path traversal patterns like `../` in the input to access any other endpoints on `api.github.com` that were not intended. Users should upgrade immediately to v5.9.1 or later to receive a patch. All prior versions are vulnerable. No known workarounds are available.