关键GitHub漏洞(CVE-2026-3854)允许远程代码执行

admin
admin
admin
0
文章
0
评论
2026-05-02 06:28:41 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 研究人员在GitHub中发现关键漏洞CVE-2026-3854,该漏洞源于gitpush操作中用户提供的推送选项值未经过适当清理,导致命令注入风险。攻击者可通过精心构造的推送选项注入元数据字段,绕过沙箱保护并在服务器上执行任意命令。漏洞影响GitHubEnterprise多个版本,已发布修复补丁。建议用户立即升级至安全版本以防止潜在攻击。 综合评分: 88 文章分类: 漏洞分析,威胁情报,解决方案,安全工具,安全运营

cover_image

关键GitHub 漏洞(CVE-2026-3854)允许远程代码执行

会杀毒的单反狗 会杀毒的单反狗

爱拍照的老李

2026年4月29日 09:02 湖北

在小说阅读器读本章

去阅读

研究人员在 GitHub 中发现了一个关键漏洞,编号为 CVE-2026-3854,可通过简单的 git push 实现远程代码执行。

此漏洞影响 GitHub Enterprise Cloud、GitHub Enterprise Cloud with Data Residency、GitHub Enterprise Cloud with Enterprise Managed Users 和 GitHub Enterprise Server。

该漏洞由命令注入问题引起,这意味着拥有代码仓库推送权限的攻击者可以在受影响的系统上执行任意命令。由于该漏洞的严重性评分很高,因此对 GitHub.com 和 GitHub Enterprise Server 用户都构成严重风险。

“GitHub Enterprise Server 中发现了一个特殊元素中和不当的漏洞,攻击者可以利用该漏洞,通过推送权限在实例上执行远程代码。”安全公告指出,“在 git push 操作期间,用户提供的推送选项值在包含在内部服务标头之前未经过适当的清理。由于内部标头格式使用了用户输入中可能出现的分隔符,攻击者可以通过精心构造的推送选项值注入额外的元数据字段。”

该漏洞在 Enterprise Server 版本 3.14.24、3.15.19、3.16.15、3.17.12、3.18.6 和 3.19.3 中得到修复。

Wiz 研究人员于 2026 年 3 月 4 日报告了该漏洞,GitHub 在两小时内解决了该问题。

当代码推送到 GitHub 时,内部服务会交换有关该操作的元数据。此漏洞的出现是因为用户提供的 git push 选项没有经过适当的清理,并被嵌入到这些元数据中。

攻击者可以利用分隔符处理机制注入额外的字段,诱使下游服务将恶意输入视为可信数据。这使得攻击者能够篡改执行环境、绕过沙箱保护,并在服务器上执行任意命令。

GitHub 通过清理输入数据并发布企业服务器版本的补丁程序迅速修复了该问题。调查显示,除研究人员的测试外,该漏洞未被实际利用,也没有客户数据泄露。

Wiz 的研究人员指出,他们利用人工智能技术在闭源代码中发现了这一漏洞,这表明漏洞发现方式正在发生转变。

尽管该漏洞较为复杂,但利用起来却十分容易。在 GitHub 上,它允许攻击者在共享存储节点上执行远程代码,可能导致数百万个代码库暴露。在企业服务器上,它可能导致整个系统被攻破,包括访问所有代码库和敏感的内部数据。

Wiz报道称: “GitHub Enterprise Server 用户应该立即升级——截至撰写本文时,我们的数据显示仍有 88% 的实例存在漏洞。”

攻击者可以利用注入的字段,将此漏洞升级为完全远程代码执行。rails_env他们通过修改字段值,绕过了沙箱保护机制,强制钩子函数以不安全模式运行。

然后,他们重定向钩子函数目录,并利用路径遍历来执行任意文件。这一攻击链使得命令能够以 Git 服务用户的身份运行,从而获得对系统的完全控制权,包括文件系统访问权限和内部配置。

在 GitHub 上,同样的漏洞也可以通过内部元数据注入企业模式标志来利用,即使自定义钩子通常被禁用,也能启用代码执行。由于 GitHub 采用多租户架构,这种访问权限可能会跨环境暴露数据,攻击者有可能读取共享存储节点上的数百万个代码库。

该问题揭示了单个 Git 推送操作如何可能利用内部服务之间的信任关系。GitHub 敦促立即修复此问题,并强调必须确保用户控制的数据在复杂系统中通过内部协议流动时的安全。

报告总结道: “只需一条 git push 命令即可利用 GitHub 内部协议中的一个漏洞,在后端基础设施上执行代码。”该漏洞链凸显了一种模式,这种模式远不止于 GitHub。

当多个使用不同语言编写的服务通过共享的内部协议传递数据时,每个服务对这些数据所做的假设就成为了关键的攻击面。在本例中,其中一个服务假设推送选项值可以安全地原封不动地嵌入。

安全公告:

https://github.com/advisories/GHSA-64fw-jx9p-5j24

新闻链接:

CVE-2026-3854 GitHub flaw enables remote code execution

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:爱拍照的老李 会杀毒的单反狗 会杀毒的单反狗《关键GitHub 漏洞(CVE-2026-3854)允许远程代码执行》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0