文章总结： 本文剖析HackerOne报告#3124517，指出GitHubEnterpriseServer3.18之前版本存在不当访问控制漏洞。攻击者利用compare/diff功能可未授权读取私有仓库代码，导致信息泄露。建议企业立即升级至修复版本，并加强跨仓库操作的权限审计，防止敏感数据外泄。 综合评分： 85 文章分类： 漏洞分析,SRC活动,WEB安全

HackerOne 报告 #3124517 技术解读与漏洞赏金分析 Bounty$10,000

原创

css hacker

白帽子黑客

2026年1月12日 13:54 上海

漏洞原始链接： https://hackerone.com/reports/3124517

GitHub 作为全球最受欢迎的代码托管平台，深受开发者和企业的广泛使用。然而，GitHub Enterprise Server 作为其企业版，虽然提供了更加灵活的权限控制和安全功能，但最近HackerOne 报告#3124517揭示的一个严重漏洞表明，若权限控制不当，用户可能在未授权的情况下访问到私有代码库中的内容。这一问题的发现和修复，充分强调了访问控制在代码托管平台中的重要性。

本文将详细分析该漏洞的技术背景、漏洞成因、利用方式，并从漏洞赏金角度评估其影响。

一、漏洞背景：GitHub Enterprise Server 介绍

GitHub Enterprise Server是 GitHub 提供的私有化部署版本，主要面向企业和组织使用，提供了灵活的权限管理、代码托管、CI/CD 支持等功能。在许多大型公司中，GitHub Enterprise Server 被用作内部代码管理工具。其高度可定制性和强大的协作功能，帮助团队高效地进行软件开发。

私有代码库是 GitHub 中最常用的功能之一，它能够保证代码内容只对特定的用户和团队可见。在正确配置的情况下，只有具有权限的用户才能访问特定的私有仓库内容。但在#3124517报告中，GitHub Enterprise Server 存在一个漏洞，允许用户在没有权限的情况下读取另一个私有代码库的部分内容。

二、漏洞概述（HackerOne #3124517）

漏洞类型：

不当访问控制（Improper Access Control）

漏洞影响范围：

GitHub Enterprise Server（版本 3.18 之前的所有版本）

漏洞描述：

报告中指出，GitHub Enterprise Server 在处理不同仓库之间的比较操作时存在不当的访问控制问题。具体而言，当用户能够访问某个仓库时，他们能够利用compare/diff功能，通过对比两个仓库中的代码来读取另一个私有仓库中的部分代码内容，甚至无需获得该仓库的授权访问权限。

要利用这个漏洞，攻击者需要知道私有仓库的名称，并了解其分支、标签或提交哈希（commit SHA）。一旦攻击者具备这些信息，就可以通过构造对比请求，获取部分私有仓库的内容。

该漏洞影响 GitHub Enterprise Server 3.18 之前的所有版本，GitHub 已在以下版本中修复了此问题：

3.14.17

3.15.12

3.16.8

3.17.5

三、漏洞根因分析

该漏洞的根本原因是 GitHub Enterprise Server 在实现compare/diff功能时，未能严格限制不同仓库之间的对比权限。具体表现为：

1. 跨仓库对比功能存在滥用风险

GitHub 提供的compare/diff功能允许用户对比两个仓库或仓库中的不同分支/标签/提交。然而，系统未能适当验证两个仓库是否属于同一组织或是否具有授权访问权限。攻击者如果知道一个私有仓库的存在及其结构信息（如分支、标签、提交哈希），就可以借此功能获取该仓库的部分代码内容。

2. 缺乏针对仓库访问的权限控制

通常情况下，GitHub 会对用户的访问权限进行严格控制，确保用户只能访问他们有权限的仓库。然而，该漏洞表明，GitHub 在某些情况下未能充分控制跨仓库的访问权限，导致攻击者能够访问未经授权的仓库内容。

3. 信息泄露

通过此漏洞，攻击者可以利用对比功能访问另一个私有仓库的部分代码，这对于内部使用的企业代码库来说是一个严重的隐私泄露问题。虽然不一定能够获取完整代码，但攻击者依然能够获取到一些敏感的代码片段，进而对企业的技术架构、知识产权等造成威胁。

四、漏洞利用思路

从攻击者的角度来看，利用此漏洞的基本步骤如下：

获取目标仓库的名称和分支信息

攻击者需要知道目标私有仓库的名称，以及该仓库的分支、标签或提交哈希。通常，攻击者可以通过社交工程、代码泄露、内部人员协作等方式获得这些信息。

构造恶意请求

利用compare/diff功能，攻击者可以构造请求，将自己的仓库和目标私有仓库进行对比。即便没有访问该私有仓库的权限，攻击者也能通过这一功能读取到目标仓库中的部分内容。

获取私有仓库的内容

攻击者通过此方法成功读取到另一个私有仓库中的代码，进而获取敏感信息、漏洞或其他机密数据。

漏洞利用示例：

GET /compare/repo1:branch1…repo2:branch2

Host: github.com

// 假设 attacker 知道 repo2 是目标私有仓库，repo1 是攻击者自己的仓库。

在该请求中，攻击者通过对比两个仓库（repo1 和 repo2）中的分支（branch1 和 branch2），成功获取到 repo2 中的代码内容，虽然没有直接访问该私有仓库的权限。

五、PoC 漏洞复现

为了理解漏洞如何被复现，以下是一个简化版的复现步骤：

攻击者获得目标仓库的基本信息（如仓库名、分支名等），并确保自己有权限访问至少一个仓库。

攻击者构造 compare 请求，将自己的仓库与目标私有仓库进行对比。

攻击者成功读取私有仓库中的部分代码，并利用该信息进行进一步的攻击。

此漏洞的严重性在于，攻击者即使不具备完全的仓库访问权限，也能利用compare/diff功能访问私有仓库中的敏感代码。

请在微信客户端打开

六、漏洞赏金分析

漏洞提交平台：HackerOne

漏洞影响：代码仓库内容泄露，特别是对企业私有仓库而言，可能导致敏感数据泄漏

厂商：GitHub

漏洞赏金评估：

GitHub 是全球最广泛使用的代码托管平台之一，GitHub Enterprise Server 作为其企业版，承载了大量企业的敏感代码和数据。该漏洞的出现，不仅让 GitHub 用户面临数据泄露的风险，也可能导致内部项目和技术的知识产权丧失。

对于一个如 GitHub Enterprise Server 这样的平台，跨仓库访问控制的漏洞具有高影响力和高风险，特别是在内部使用的私有代码库泄露的情况下。因此，该漏洞的赏金评估通常会被定为高风险，并给予较高的奖励。

七、防护措施

1. 严格的权限控制

GitHub 应该确保compare/diff功能在跨仓库使用时，进行严格的权限检查，确保用户只能对比自己有权限访问的仓库。

2. 增强跨仓库访问的审计

系统应记录跨仓库访问的操作，并对敏感操作进行审计，确保没有未经授权的访问行为。

3. 升级至最新版本

所有使用 GitHub Enterprise Server 的组织应及时升级至修复该漏洞的版本（例如，版本 3.14.17、3.15.12、3.16.8 或 3.17.5），以防止此类问题的发生。

八、总结

HackerOne 报告#3124517揭示的漏洞，展示了 GitHub Enterprise Server 中跨仓库的访问控制缺陷，使得攻击者能够在未授权的情况下，读取私有仓库的代码。对于企业用户来说，这种漏洞可能导致敏感数据的泄漏，甚至影响企业的知识产权安全。

通过对该漏洞的分析，我们可以看到，访问控制在代码托管平台中的重要性。任何涉及跨仓库操作的功能，都应该经过严格的权限验证，以避免信息泄露或滥用。

GitHub 对此漏洞的迅速修复，表明平台在用户安全方面的重视。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子黑客 css hacker《HackerOne 报告 #3124517 技术解读与漏洞赏金分析 Bounty$10,000》