A GitHub anunciou uma atualização emergencial para corrigir a falha CVE-2025-12004 em sua versão Enterprise Server, que permite a usuários autenticados contornar controles de permissão e acessar repositórios privados. A falha está presente nas versões anteriores à 3.13.0 e foi identificada internamente pela equipe de segurança da plataforma. A vulnerabilidade afeta diretamente ambientes corporativos que hospedam repositórios sensíveis, permitindo que usuários com permissões limitadas acessem projetos privados de outras equipes.
O problema ocorre devido a falhas no sistema de cache da camada de autenticação, o que, sob certas condições, reutiliza tokens de sessão de forma indevida. A falha já foi explorada em ambientes isolados, mas até o momento não há indícios de exploração massiva. Organizações que utilizam o GitHub Enterprise Server são orientadas a aplicar o patch imediatamente e revisar os logs de acesso para identificar comportamentos anômalos.
A exposição de repositórios privados pode levar ao roubo de código-fonte, chaves API e dados internos. Isso representa um risco elevado para empresas que mantêm projetos proprietários, produtos em desenvolvimento ou integrações com serviços externos. Além da atualização, a GitHub recomenda revisar permissões de usuários e aplicar autenticação multifator em todos os acessos administrativos. A falha destaca como pequenas falhas em controle de sessão podem ter impactos significativos em ambientes colaborativos amplamente utilizados.
