文章总结： WizResearch披露GitHub存在高危RCE漏洞CVE-2026-3854，CVSS评分8.7。该漏洞源于Git处理push命令时的输入验证缺失，允许认证用户通过注入恶意参数在GitHub后端服务器执行任意代码，影响GitHub.com及GitHubEnterpriseServer，可导致跨租户数据窃取或服务器完全沦陷。官方已发布修复版本，建议管理员立即升级并加强日志监控，用户应检查协作者权限并开启双因素认证。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应急响应,安全运营,云安全

紧急预警：GitHub 高危 RCE 漏洞（CVE-2026-3854）—— 一条 git push 即可接管服务器

原创

OOO OOO

船山信安

2026年5月7日 15:12 湖南

在小说阅读器读本章

去阅读

| | | | — | — | | 漏洞等级 | CRITICAL（严重） | | CVSS 评分 | 8.7/10 | | 披露时间 | 2026-04-28 | | 影响范围 | GitHub.com及GitHub Enterprise Server (GHES） |

一、漏洞爆发：一条命令就能攻陷 GitHub？

2026 年 4 月 28 日，网络安全研究机构 Wiz Research 公开披露了 GitHub 平台存在的致命远程代码执行漏洞（CVE-2026-3854）。该漏洞源于 GitHub 内部 git 基础设施的命令注入缺陷，任何拥有仓库推送权限的认证用户，仅需执行一条标准 git push 命令，即可在 GitHub 后端服务器上执行任意代码。更令人震惊的是，攻击者可通过该漏洞访问托管数百万账户仓库的共享存储节点，实现跨租户数据窃取；而在 GitHub 企业版服务器（GHES）上，此漏洞可直接导致服务器完全沦陷，获取系统级控制权。

二、漏洞核心原理：输入未净化，元数据被劫持

该漏洞本质是命令注入漏洞，源于 GitHub 处理 git push 操作时的输入验证缺失GitHub Docs。具体攻击链如下：

PoC 利用示例（概念验证）

gitpush-orepo.git/info/refs?service=git-receive-pack\-o"X-Stat: rails_env=production;hookspath=/tmp/malicious"\origin main

此命令通过注入rails_env和hookspath字段，直接篡改 GitHub 内部服务配置，实现命令执行。

三、影响范围与风险评估

| 产品 / 平台 | 影响程度 | 潜在危害 | | — | — | — | | GitHub.com | 高 | 跨租户访问数百万公共 / 私有仓库，窃取代码与敏感数据 | | GHES 3.14.x | 极高 | 服务器完全接管，获取所有仓库、用户数据及系统控制权 | | GHES 3.15.x | 极高 | 同上 | | GHES 3.16.x | 极高 | 同上 |

利用门槛极低 ：无需复杂技术，仅需基础 git 知识和仓库推送权限（攻击者可自行创建仓库）

危害极大：上可实现跨租户数据访问，GHES 上可完全控制服务器

影响面广：覆盖全球最大代码托管平台及企业级部署，波及数百万开发者和企业

Wiz 研究团队警告，目前仍有88% 的 GHES 实例未完成修复，存在极高安全风险。

四、缓解措施

该漏洞主要影响早期版本的 GitHub Enterprise Server (GHES)，攻击者可通过构造恶意 git push 参数，在内部服务头（X-Stat）中注入额外字段，由于系统未对用户输入进行充分清理，且内部头部格式使用的分隔符与用户可控字符发生冲突，最终导致攻击者能够伪造元数据字段，例如通过注入 rails_env=production 绕过原有沙箱保护机制，使 Hook 程序在不安全模式下运行；进一步结合路径遍历技术，攻击者还能重定向 Hook 目录并执行任意文件，最终以 Git 服务账户身份获取服务器控制权限。针对该问题，GHES 管理员应立即升级至官方修复版本，并在升级前临时限制 Hook 功能、加强日志审计和异常 push 请求监控；普通用户则应及时检查仓库协作者权限、开启双因素认证并警惕钓鱼攻击；开发者也应避免使用来源不明的仓库、定期更新本地 Git 客户端，并持续关注 GitHub Security Advisories等官方安全公告，以降低漏洞被利用的风险。

GitHub 虽已修复漏洞，但此事件提醒我们

没有绝对安全的平台，安全是持续的过程而非终点。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 OOO OOO《紧急预警：GitHub 高危 RCE 漏洞（CVE-2026-3854）—— 一条 git push 即可接管服务器》