🛠️ CVE‑2025‑3509 – GitHub Exécution de code à distance via pre‑receive hooks

🔐 Une vulnérabilité critique d’exécution de code a été corrigée dans GitHub Enterprise Server. Cette faille, exploitée dans des conditions particulières, aurait permis à un attaquant distant d’exécuter du code arbitraire sur le serveur. GitHub a réagi rapidement en publiant des correctifs dans plusieurs versions. Retour sur cette alerte de sécurité majeure et les recommandations pour les administrateurs.

• Type : Remote Code Execution (RCE), gravité « High » — CVSS 7.1 selon GitHub, 9.8 selon certaines sources securityweek.com.
• Mécanisme :
  • Exploitation possible pendant des conditions opérationnelles très spécifiques, notamment lors du « hot patching », lorsque des ports sont alloués dynamiquement ecurityweek.com.
  • Nécessite des privilèges élevés (administrateur du site) ou un utilisateur pouvant modifier des repos avec des pre‑receive hooks activés 

🚨 Impact concrètement possible

• Exécution de code arbitraire sur le serveur.
• Escalade de privilèges jusqu’à une compromission totale du système.
• Fenêtre d’exploitation très restreinte : uniquement pendant le hot patching, et avec accès spécifique GITHUB.

✅ Versions affectées & correctifs disponibles

• Versions vulnérables : toutes les versions antérieures à 3.17 (soit < 3.17.0) docs.github.com.
• Versions corrigées :
  • 3.13.14, 3.14.11, 3.15.6, 3.16.2, et 3.17.1 (sortie le 18 juin 2025) securityweek.com.
  • GitHub a initialement sorti un correctif, puis déployé une mise à jour supplémentaire pour combler les cas d’usage non traités github.com+15securityweek.com+15cybersecuritynews.com+15.

🧭 Autres failles corrigées en parallèle

• CVE‑2025‑3124 – fuite d’informations (noms de dépôts privés) via le filtre archived:advisory.eventussecurity.com.
• CVE‑2025‑3246 – Cross‑Site Scripting via blocs de mathématiques en Markdown advisory.eventussecurity.com.
• GitHub recommande de déployer immédiatement les versions corrigées. Le bug bounty de GitHub a détecté tous ces problèmes, sans signalement d’exploitation active jusqu’à présent securityweek.com.

🎯 Recommandations pour les administrateurs

1. Vérifiez votre version : si votre instance GHES est inférieure à 3.17, planifiez une mise à jour dès que possible.
2. Appliquez les correctifs : ciblez au minimum 3.17.1, ou, si vous ne pouvez pas monter aussi haut, au moins les versions 3.16.2, 3.15.6, 3.14.11 ou 3.13.14.
3. Analysez vos configurations : privilégiez le firewalling autour des ports utilisés pendant le hot‑patching, et restreignez les utilisateurs autorisés à modifier les pre‑receive hooks.
4. Jeu de corrections multiples : ces versions incluent aussi les remèdes pour CVE‑2025‑3124 et CVE‑2025‑3246, donc un patch groupé vous couvre mieux cybersecuritynews.com.
5. Surveillance : surveillez les logs d’installation ou d’utilisation des hooks, surtout pendant les mises à jour, car c’est à ce moment que la vulnérabilité est exploitable.

En résumé : si vous gérez GHES et que vous êtes en version < 3.17, il est crucial de passer à une version corrigée (3.17.1 ou équivalente) pour éviter une potentielle exécution de code à distance et compromission complète du serveur. N’hésitez pas à me demander de l’aide si vous voulez que je vérifie les notes de version ou étapes précises à suivre 😉

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com