Исследователи безопасности из Wiz обнаружили крайне опасную уязвимость во внутренней Git-инфраструктуре Github. Согласно блогу исследователей (открывается в новом окне), злоумышленники могли с помощью простой команды git push внедрить вредоносный код на внутренние серверы Github и таким образом глубоко проникнуть в инфраструктуру. Github Enterprise Server также уязвим.
Данная уязвимость зарегистрирована как CVE-2026-3854 (открывается в новом окне) и имеет высокий уровень опасности с оценкой CVSS 8,8. То, что ей не присвоили максимальный балл, связано в первую очередь с тем, что атакующему необходимо предварительно пройти аутентификацию и иметь права на отправку (push) в произвольный репозиторий. Однако на Github.com эти условия легко выполнимы из-за открытой регистрации.
Согласно описанию уязвимости, причина кроется в некорректной очистке передаваемых пользователем значений опций отправки. «Поскольку внутренний формат заголовка использовал разделитель, который также мог встречаться в пользовательском вводе, злоумышленник мог внедрить дополнительные поля метаданных через манипулируемые значения опций отправки», — говорится в сообщении.
Миллионы репозиториев кода под угрозой
Более подробные технические детали об уязвимости и её исследовании можно найти у Wiz (открывается в новом окне). Уязвимость была обнаружена с помощью обратного проектирования на основе ИИ. Поэтому исследователи описывают CVE-2026-3854 в своём блоге как «одну из первых критических уязвимостей, обнаруженных с помощью ИИ в бинарных файлах с закрытым исходным кодом».
Несмотря на сложность базовой системы, по словам исследователей безопасности, уязвимость «замечательно проста в эксплуатации». На Github.com уязвимость, как сообщается, позволяла удалённо выполнять код на совместно используемых узлах хранения данных. По данным Wiz, злоумышленники могли получить доступ к миллионам репозиториев Github.
Не менее опасна эта уязвимость и для самостоятельно размещённых (self-hosted) экземпляров Github Enterprise Server. Согласно информации, системы, подверженные CVE-2026-3854, могут быть полностью скомпрометированы. Размещённые на них репозитории и внутренние секреты также находятся под угрозой. Однако во многих случаях необходимая аутентификация и права на отправку (push) могут стать более серьёзным препятствием.
Многие серверы Github всё ещё уязвимы
На Github.com уязвимость, как сообщается, была исправлена в течение нескольких часов после уведомления исследователей. Согласно собственному уведомлению Github (открывается в новом окне) по этой теме, это произошло ещё 4 марта. Тем, кто управляет собственным сервером Github Enterprise, необходимо установить исправление самостоятельно, если это ещё не сделано. Защищёнными считаются все версии начиная с 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4 и 3.20.0.
Однако тот, кто полагает, что доступные уже несколько недель исправления установлены на многих экземплярах, ошибается. Как поясняют исследователи Wiz, ссылаясь на собственные данные, 88 процентов всех серверов Github Enterprise, вероятно, всё ещё уязвимы. Таким образом, для многих администраторов сохраняется необходимость действовать.