GitHub ha publicado actualizaciones de seguridad urgentes para su producto Enterprise Server tras la identificación de diversas vulnerabilidades de alta criticidad. Entre ellas, se destaca una falla crítica (CVE-2025-3509) que podría permitir a atacantes ejecutar código malicioso de forma remota y comprometer la integridad de los sistemas.
Estas vulnerabilidades, que también implican la exposición de información confidencial almacenada en los repositorios y la posibilidad de ataques de tipo Cross-Site Scripting (XSS), afectan a las versiones 3.13.0 hasta la 3.16.1 de GitHub Enterprise Server. Se han liberado parches correctivos en las versiones 3.13.14, 3.14.11, 3.15.6 y 3.16.2, los cuales se recomienda aplicar a la brevedad.
Ejecución remota de código mediante ganchos de prerecepción
La vulnerabilidad más grave (CVE-2025-3509) permite la ejecución remota de código (RCE) mediante la explotación de puertos asignados dinámicamente durante las actualizaciones de parches en caliente.
Los atacantes con permisos de administrador del sitio o privilegios de modificación del repositorio podrían vincularse a puertos disponibles temporalmente, lo que podría aumentar los privilegios y tomar el control total del sistema. Esta falla solo se puede explotar en condiciones específicas, como durante el proceso de parcheo en caliente, lo que limita su ventana de ataque.
Acceso no autorizado a repositorios privados
Una vulnerabilidad de gravedad media (CVE-2025-3124) permite a usuarios no autorizados ver nombres de repositorios privados en la descripción general de seguridad avanzada de GitHub.
Esto ocurre debido a que falta una verificación de autorización al aplicar el filtro archivado:. Si bien los contenidos del repositorio permanecen protegidos, la exposición de los nombres podría ayudar a los atacantes a atacar proyectos confidenciales.
Secuencias de comandos entre sitios a través de bloques matemáticos maliciosos
Una vulnerabilidad XSS separada de alto riesgo (CVE-2025-3246) permite a los atacantes inyectar HTML/CSS malicioso en bloques matemáticos de Markdown ($$..$$). La explotación requiere acceso a la instancia de destino y la interacción del usuario privilegiado con el contenido malicioso. GitHub ha mitigado esto mejorando la desinfección de entradas y los protocolos de escape para elementos representados matemáticamente.
Versiones afectadas y mitigación
El impacto de las vulnerabilidades:
- 3.13.0–3.13.13 (corregido en 3.13.14)
- 3.14.0–3.14.10 (corregido en 3.14.11)
- 3.15.0–3.15.5 (corregido en 3.15.6)
- 3.16.0–3.16.1 (corregido en 3.16.2)
GitHub recomienda actualizaciones inmediatas a las últimas versiones parcheadas. Los administradores también deben auditar los permisos de los usuarios y monitorear actividades inusuales durante la aplicación de parches en caliente.
Todas las vulnerabilidades se informaron a través del programa Bug Bounty de GitHub, lo que subraya la importancia de las iniciativas de seguridad impulsadas por la comunidad. La empresa no ha revelado evidencia de explotación activa, pero enfatiza la mitigación proactiva dada la gravedad de estas fallas.
Las organizaciones que dependen de GitHub Enterprise Server deben priorizar estas actualizaciones para protegerse contra la ejecución de código, fugas de datos y ataques XSS. Los parches resaltan los riesgos actuales en los entornos DevOps empresariales y la necesidad crítica de controles de acceso rigurosos y protocolos de gestión de parches.
