GitHub 被曝安全漏洞!

天融信教育
天融信教育 2024-04-28 11:15:17 40830
分类专栏: 资讯
图片

日前,代码托管网站 GitHub 被曝高危严重漏洞,存在于 comment 文件上传系统中,黑客利用该漏洞可以分发各种恶意软件。

 

用户可以将文件上传到指定 GitHub comment 中(即便该条 comment 并不存在),也会自动生成下载链接。此链接包括存储库的名称及其所有者,可能会诱使受害者认为该文件是合法的。
例如上传到 GitHub 的文件 URL 地址可以表明来自微软,但事实上该项目代码中从未提及相关内容。
该漏洞并不需要任何复杂的专业技术,只需要上传恶意文件到指定 comment 即可。攻击者可以在任何受信任的存储库中上传恶意软件,然后通过 GitHub 链接进行分发。而且这些链接属于 GitHub 官方 URL 域名,且后缀是“Microsoft”等官方储存库,因此用户很大几率认为该 URL 下载链接的内容是正规安全的。
GitHub 目前已经删除了部分恶意软件链接,但尚未完全修复该漏洞。对于开发者而言,现阶段没有足够有效的方法阻止这种滥用,唯一的方案就是完全禁用 comment。
参考链接:https://www.freebuf.com/news/399336.html

 

相关阅读

1.2024数据安全大赛正式启动,开始报名啦!
2.《加快数字人才培育支撑数字经济发展行动方案(2024-2026年)》
3.看过来|2024年度CISP证书维持方案!
4.北京新增网络空间安全职称评审专业
图片
图片
官网:http://www.topsec-edu.cn
热线:400-017-0077
邮箱:service@topsec-edu.cn
客服:topsec-sky

网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。

本文链接:https://www.xckfsq.com/news/show.html?id=53520
赞同 2
评论 1 条
  • zlj141319 2024-04-29 08:25:05

    这个危害性就大了

    赞同 0 反对 0
    回复
    DIY,越搞越有机。

相关文章

天融信教育
天融信教育L3
粉丝 0 发表 38 + 关注 私信
上周热门
如何使用 StarRocks 管理和优化数据湖中的数据?  2944
【软件正版化】软件正版化工作要点  2863
统信UOS试玩黑神话:悟空  2823
信刻光盘安全隔离与信息交换系统  2717
镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态  1251
grub引导程序无法找到指定设备和分区  1217
华为全联接大会2024丨软通动力分论坛精彩议程抢先看!  163
点击报名 | 京东2025校招进校行程预告  162
2024海洋能源产业融合发展论坛暨博览会同期活动-海洋能源与数字化智能化论坛成功举办  160
华为纯血鸿蒙正式版9月底见!但Mate 70的内情还得接着挖...  157
本周热议
我的信创开放社区兼职赚钱历程 40
今天你签到了吗? 27
信创开放社区邀请他人注册的具体步骤如下 15
如何玩转信创开放社区—从小白进阶到专家 15
方德桌面操作系统 14
我有15积分有什么用? 13
用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
如何让你先人一步获得悬赏问题信息?(创作者必看) 12
2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
热门标签更多

加入交流群

请使用微信扫一扫!