GitHub RCE
A Wiz kutatása egy CVSS 8.7-es súlyosságú sérülékenységet (CVE-2026-3854) tárt fel a GitHub belső git-feldolgozó infrastruktúrájában, amely lehetővé tette távoli kódfuttatás végrehajtását egyetlen szabványos git pushművelettel.
A hiba egy input-validációs és parszolási probléma volt az úgynevezett push option mezők kezelésében. A felhasználó által megadott értékek nem megfelelően kerültek tisztításra, mielőtt bekerültek a GitHub belső kommunikációs protokolljába. Mivel a protokoll speciális elválasztó karaktereket használ, amelyeket a felhasználói input is tartalmazhat, a támadó képes volt további metaadat mezőket injektálni, ami végül parancs-injektáláshoz vezetett.
A sérülékenység kihasználása nem igényelt speciális eszközöket, elegendő volt egy jogosult felhasználó és egy módosított git push kérés. Ez a kérés a backend feldolgozási láncban futott le, és lehetővé tette tetszőleges parancsok végrehajtását a szerveren.
A hatás különösen súlyos volt multi-tenant környezetben. GitHub.com esetében a támadó kódja közös storage node-okon futott, ahol más szervezetek és felhasználók repositoryi is jelen voltak, így potenciális cross-tenant adat-hozzáférésalakult ki, akár milliós nagyságrendű repository érintettséggel.
A GitHub Enterprise Server esetében a kockázat még direktebb, a sikeres exploit esetén teljes szerverkompromittáció érhető el, beleértve a forráskódokat, titkokat és konfigurációkat.
A sérülékenységet a Wiz jelentette 2026. március 4-én, és a GitHub néhány órán belül validálta és javította a hibát a felhőszolgáltatásban, majd kiadta a javításokat az Enterprise verziókhoz is. Nem találtak bizonyítékot aktív kihasználásra a javítás előtt.
