CVE-2025-14046：GitHub Enterprise Server中CWE-79网页生成期间输入中和不当漏洞（XSS）

严重性：高 类型：漏洞

描述

在GitHub Enterprise Server中发现一处输入中和不当漏洞，该漏洞允许用户提供的HTML注入与服务器初始化数据岛ID冲突的DOM元素。这种冲突可能覆盖或遮蔽某些项目视图中使用的关键应用程序状态对象，从而导致非预期的服务器端POST请求或其他未经授权的后端交互。成功利用此漏洞需要攻击者能够访问目标GitHub Enterprise Server实例，并诱使特权用户查看包含冲突HTML元素的特制恶意内容。此漏洞影响GitHub Enterprise Server 3.18.3、3.17.9、3.16.12、3.15.16和3.14.21之前的所有版本。

技术分析

CVE-2025-14046是一个被归类为CWE-79的跨站脚本（XSS）漏洞，影响GitHub Enterprise Server 3.18.3、3.17.9、3.16.12、3.15.16和3.14.21之前的版本。该漏洞源于网页生成过程中对用户提供的HTML输入中和不当，具体而言，允许注入与服务器初始化数据岛ID冲突的DOM元素。这些冲突会导致某些项目视图中使用的关键应用程序状态对象被覆盖或遮蔽。因此，攻击者可以操纵客户端DOM来触发非预期的服务器端POST请求或未经授权的后端交互。漏洞利用要求攻击者能够访问目标GitHub Enterprise Server实例，并诱骗特权用户查看包含冲突HTML元素的恶意制作内容。该漏洞不要求攻击者进行身份验证或拥有提升的权限，但确实需要用户交互（查看恶意内容）。CVSS 4.0向量表明其网络攻击向量、攻击复杂度低、无需权限、需要用户交互，并对机密性和完整性有高度影响。截至发布日期，尚未有已知的野外利用报告，但其对敏感项目数据和工作流的潜在影响是重大的。该漏洞影响了GitHub Enterprise Server的多个主要版本，GitHub Enterprise Server是企业环境中广泛使用的源代码管理和协作平台。

潜在影响

对欧洲组织而言，由于GitHub Enterprise Server在软件开发和DevOps工作流中的广泛采用，CVE-2025-14046的影响可能非常重大。成功利用可能导致敏感项目数据被未经授权修改或泄露、项目状态被操纵，以及可能危及代码仓库和相关资产完整性、保密性的未经授权后端操作。这可能会扰乱开发流程、引入恶意代码或泄露专有信息。鉴于必须诱骗特权用户查看恶意内容，攻击者可能采用针对性的钓鱼或社会工程活动。该漏洞能够导致未经适当授权的服务器端POST请求，增加了企业环境内横向移动或权限提升的风险。野外暂无已知利用为主动缓解提供了时间窗口，但组织应迅速采取行动以防止潜在的利用，特别是那些受监管行业或拥有欧洲关键软件供应链的组织。

缓解建议

欧洲组织应立即将GitHub Enterprise Server升级到已修补该漏洞的版本3.18.3、3.17.9、3.16.12、3.15.16或3.14.21及更高版本。在完成修补之前，实施严格的内容安全策略（CSP）以限制不受信任脚本的执行，降低XSS利用风险。部署具有自定义规则的Web应用防火墙（WAF）来检测和阻止针对此漏洞的恶意载荷。加强以识别可能传递恶意内容的钓鱼和社会工程尝试为重点的用户意识培训。将GitHub Enterprise Server实例的访问权限限制在可信网络和用户，最小化暴露给不可信行为者。监控服务器日志和用户活动，查找可能表明利用尝试的异常POST请求或后端交互。考虑部署运行时应用程序自保护（RASP）解决方案以检测和阻止异常的DOM操作。最后，审查并加固项目视图配置，以在可行的情况下限制DOM元素冲突的影响。

受影响国家

德国、法国、英国、荷兰、瑞典、芬兰、意大利、西班牙、比利时、波兰

来源与日期

来源： CVE Database V5 发布日期： 2025年12月11日 星期四