Uma vulnerabilidade crítica foi identificada no GitHub Enterprise Server (GHES), permitindo que atacantes com permissões limitadas acessem repositórios privados de forma indevida. Registrada como CVE-2025-28745, a falha afeta versões anteriores à 3.13.0 e permite o acesso não autorizado a dados confidenciais via API GraphQL.
O problema decorre de um erro na verificação de escopos de permissões quando consultas complexas são feitas por usuários autenticados. Um invasor pode manipular as chamadas à API para obter metadados de repositórios privados, incluindo nomes de arquivos e estrutura de branches. Embora a falha não permita leitura direta de código, a exposição de informações estratégicas pode ser explorada para campanhas de engenharia social ou movimentação lateral.
A GitHub lançou uma atualização emergencial e recomenda sua aplicação imediata. Também foi sugerada a revisão de logs de acesso para identificar tentativas de exploração. Ambientes com integração contínua (CI) ou automações baseadas em tokens são os mais vulneráveis. Este incidente evidencia os riscos associados ao uso de plataformas amplamente integradas com múltiplas ferramentas e ressalta a importância de segmentar permissões e auditar periodicamente o uso de APIs.
