O vulnerabilitate critică în infrastructura GitHub permitea oricărui utilizator cu acces de tip push la un repository să execute comenzi arbitrare pe serverele companiei.
GitHub a aflat de problemă în urma unui raport bug bounty primit de la cercetătorii de la Wiz, o companie axată pe protecția infrastructurii cloud, ce descria o metodă prin care orice utilizator cu acces de push la un repository – inclusiv unul creat de el însuși – putea obține execuție arbitrară de comenzi pe serverul GitHub care gestiona operațiunea de git push.
Atacul necesita o singură comandă: git push cu o opțiune de push special construită, care exploata un caracter nesanitizat.
În mai puțin de două ore de la primirea raportului pe 4 martie 2026, compania a validat vulnerabilitatea, a implementat un patch pe github.com și a demarat o investigație forensică care a concluzionat că nu a existat nicio exploatare.
Potrivit GitHub, problema consta în modul în care opțiunile de push furnizate de utilizator – o funcționalitate intenționată a git care permite clienților să trimită stringuri key-value serverului în timpul unui push – erau incorporate în metadatele interne fără o sanitizare suficientă.
Deoarece formatul de metadate interne folosea un caracter delimitator care putea apărea și în input-ul utilizatorului, un atacator putea injecta câmpuri suplimentare pe care serviciul receptor le-ar fi interpretat ca valori interne de încredere.
GitHub a precizat că o proprietate cheie a vulnerabilității a oferit certitudine în privința absenței exploatării: exploit-ul forțează serverul să urmeze o cale de cod care nu este niciodată utilizată în operațiunile normale. Jurnalizând această cale, compania a interogat telemetria și a confirmat că fiecare ocurență corespundea activității de testare a cercetătorilor Wiz. Nicio dată a clienților nu a fost accesată, modificată sau exfiltrată.
Vulnerabilitatea a fost publicată cu indicativul CVE-2026-3854. Patch-urile pentru GitHub Enterprise Server sunt disponibile în versiunile 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4, 3.20.0 și versiunile ulterioare.
Clienții Enterprise Server sunt sfătuiți să verifice jurnalele de audit pentru operațiuni de push care conțin caracterul „;” în opțiunile de push.
Raportarea vulnerabilității va primi una dintre cele mai mari recompense din istoria programului Bug Bounty al GitHub, a spus compania fără a preciza vreo sumă.
