Критическая уязвимость удаленного выполнения кода (RCE) в GitHub потенциально могла позволить злоумышленникам выполнять произвольный код на GitHub.com и GitHub Enterprise Server.
Обнаруженный исследователями Wiz, исправленный баг использовал способ обработки GitHub серверных операций «git push». Создав вредоносный ввод в стандартной команде Git push, аутентифицированный пользователь мог выполнить произвольные команды через конвейер обработки Git на сервере GitHub.
GitHub признала серьезность находки: директор по информационной безопасности Алексис Уэйлс отметила: «Находка такого масштаба и серьезности редка, она заслужила одну из самых высоких наград в нашей программе Bug Bounty».
GitHub устранила проблему на GitHub.com и выпустила исправления для всех поддерживаемых версий GitHub Enterprise Server в течение нескольких часов после сообщения. Однако, по данным Wiz, на момент публичного раскрытия 88% экземпляров Enterprise Server в интернете оставались уязвимыми.
Некорректная обработка git push в GitHub
Уязвимость, отслеживаемая как CVE-2026-3854, возникла из-за того, как GitHub обрабатывает запросы git push в своей серверной инфраструктуре Git. По данным Wiz, проблема связана с внутренним компонентом под названием X-STAT, который находится на пути серверной обработки операций Git в GitHub.
Исследователи Wiz обнаружили, что специально сформированный git push мог передать вредоносно структурированный ввод в X-STAT, где он не обрабатывался безопасно перед включением в выполнение команд на бэкенде. Поскольку эта обработка происходит на стороне сервера как часть стандартной обработки событий репозитория в GitHub, ввод мог влиять на то, как команды конструировались или выполнялись в этом конвейере.
Уязвимость получила почти критическую оценку CVSS 8.8 из 10 и была исправлена в версиях GitHub Enterprise Server с 3.14.25 по 3.20.0. GitHub классифицировала уязвимость как проблему «инъекции команд», вызванную «ненадлежащей нейтрализацией специальных элементов, используемых в команде».
Сообщается, что при поиске этой уязвимости использовался ИИ с помощью инструментария обратной разработки IDA MCP (с поддержкой ИИ) от Hex-Rays. «Это одна из первых критических уязвимостей, обнаруженных в бинарных файлах с закрытым исходным кодом с использованием ИИ, что подчеркивает сдвиг в методах выявления таких недостатков», — заявил исследователь Wiz Саги Цадик в посте в блоге. «Несмотря на сложность базовой системы, уязвимость на удивление легко эксплуатируется».
Полный компрометация среди арендаторов
В своем анализе Wiz подробно описала, как проблема могла быть эскалирована от первоначального выполнения команд до полного удаленного выполнения кода на затронутых системах.
«На GitHub.com эта уязвимость позволяла удаленно выполнять код на общих узлах хранения. Мы подтвердили, что на затронутых узлах были доступны миллионы публичных и частных репозиториев других пользователей и организаций», — сказал Цадик, добавив, что для сред с самостоятельным размещением последствия были еще более серьезными. На GitHub Enterprise Server уязвимость предоставляла полный доступ к серверу, включая доступ ко всем размещенным репозиториям и внутренним секретам.
Wiz подтвердила, что не получала доступа к содержимому репозиториев других арендаторов при тестировании эксплойта. «Мы проверили междоменное раскрытие, используя только наши собственные тестовые учетные записи, подтвердив, что права доступа к файловой системе пользователя git позволили бы читать любой репозиторий на узле», — добавил Цадик.
GitHub поделилась шагами по устранению и полными техническими деталями в посте в блоге безопасности, добавив, что «GitHub Enterprise Cloud, GitHub Enterprise Cloud с управляемыми пользователями предприятия, GitHub Enterprise Cloud с локализацией данных и github.com были пропатчены 4 марта 2026 года. Пользователям этих сервисов никаких действий предпринимать не требуется».
Пользователям GitHub Enterprise Server было настоятельно рекомендовано немедленно установить исправления, доступные для всех поддерживаемых версий.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
