製品・ソフトウェアに関する情報

JVN脆弱性詳細

GitHubのEnterprise Serverにおけるクロスサイトスクリプティングの脆弱性

Title	GitHubのEnterprise Serverにおけるクロスサイトスクリプティングの脆弱性
Summary	GitHub Enterprise Server Management Consoleのログインページにリフレクト型HTMLインジェクションの脆弱性が確認されました。この脆弱性により認証情報の窃取が可能になる可能性があります。/setup/unlockエンドポイントのredirect_toクエリパラメータが適切にサニタイズされず、HTML属性に反映されているため、攻撃者が管理者の資格情報を取得できるフォーム要素を注入できる状況でした。攻撃を成立させるには、管理者が特別に細工されたリンクをクリックし、その後資格情報を入力する必要がありました。この脆弱性はGitHub Enterprise Serverのバージョン3.19.1から3.19.5および3.20.0から3.20.1に影響し、バージョン3.19.6および3.20.2で修正されています。本脆弱性はGitHubバグバウンティプログラムを通じて報告されました。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 7, 2026, midnight
Registration Date	May 13, 2026, 10:21 a.m.
Last Update	May 13, 2026, 10:21 a.m.

CVSS3.0 : 警告
Score	6.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

GitHub

Enterprise Server 3.19.1 以上 3.19.6 未満

Enterprise Server 3.20.0 以上 3.20.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-8106	https://www.cve.org/CVERecord?id=CVE-2026-8106
National Vulnerability Database (NVD)
2	CVE-2026-8106	https://nvd.nist.gov/vuln/detail/CVE-2026-8106

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	Release notes - GitHub Enterprise Server 3.19 Docs	https://docs.github.com/en/enterprise-server@3.19/admin/release-notes#3.19.6
2	Release notes - GitHub Enterprise Server 3.20 Docs	https://docs.github.com/en/enterprise-server@3.20/admin/release-notes#3.20.2

Change Log

No	Changed Details	Date of change
1	[2026年05月13日] 掲載	May 13, 2026, 10:21 a.m.

NVD Vulnerability Information

CVE-2026-8106

Summary	A reflected HTML injection vulnerability was identified in the GitHub Enterprise Server Management Console login page that could allow credential theft. The redirect_to query parameter on the /setup/unlock endpoint was reflected into an HTML attribute without proper sanitization, enabling an attacker to inject a form element that could capture administrator credentials. Exploitation required an administrator to click a crafted link and enter their credentials. This vulnerability affected GitHub Enterprise Server versions 3.19.1 through 3.19.5 and 3.20.0 through 3.20.1, and was fixed in versions 3.19.6 and 3.20.2. This vulnerability was reported via the GitHub Bug Bounty program.
Publication Date	May 8, 2026, 7:16 a.m.
Registration Date	May 9, 2026, 4:11 a.m.
Last Update	May 12, 2026, 2:12 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:github:enterprise_server::::::::	3.19.1			3.19.6
cpe:2.3:a:github:enterprise_server::::::::	3.20.0			3.20.2

Related information, measures and tools

No	URL	refsource	タグ
1	https://docs.github.com/en/enterprise-server@3.19/admin/release-notes#3.19.6	product-cna@github.com
2	https://docs.github.com/en/enterprise-server@3.20/admin/release-notes#3.20.2	product-cna@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html