GitHub remediază o vulnerabilitate RCE care permitea accesul la milioane de depozite private - Peste 88% din instanțele GitHub Enterprise Server rămân vulnerabile și necesită actualizare urgentă

GitHub a remediat în martie o vulnerabilitate critică de execuție de cod la distanță (RCE) care putea oferi acces cu drepturi complete la milioane de depozite private , iar riscul operațional rămâne ridicat pentru companiile care rulează GitHub Enterprise Server și nu au aplicat încă actualizările, potrivit BleepingComputer . Vulnerabilitatea, urmărită ca CVE-2026-3854 , a fost raportată pe 4 martie 2026 de cercetători ai firmei Wiz prin programul de recompense pentru raportarea de erori (bug bounty). GitHub spune că echipa sa de securitate a reprodus și confirmat problema în 40 de minute și a implementat o remediere pe GitHub.com în mai puțin de două ore de la primirea raportului. De ce contează pentru companii: acces complet la cod și secrete interne Exploatarea reușită ar fi necesitat un singur „git push” construit malițios și putea oferi atacatorilor acces complet de citire/scriere la depozite private pe GitHub.com sau pe servere GitHub Enterprise vulnerabile, în cazul în care atacatorul avea deja drepturi de „push”. Potrivit explicațiilor GitHub, problema ținea de modul în care platforma gestiona opțiuni furnizate de utilizator în timpul operațiunilor „git push”: anumite valori ajungeau în metadate interne fără o filtrare suficientă, permițând injectarea unor câmpuri suplimentare care erau apoi considerate de încredere de un serviciu din aval. În acest fel, un atacator ar fi putut ocoli mecanismele de izolare (sandbox) și executa cod arbitrar pe serverul care procesa operațiunea. Ce a constatat Wiz și ce spune GitHub despre exploatare Wiz a descris vulnerabilitatea drept una dintre cele mai severe probleme de securitate întâlnite într-un serviciu de tip SaaS (software livrat ca serviciu), prin potențialul de expunere a bazelor de cod ale marilor companii. Într-un raport publicat marți de Wiz, cercetătorul Sagi Tzadik a afirmat că, pe GitHub.com, vulnerabilitatea permitea execuție de cod la distanță pe noduri de stocare partajate și că „milioane de depozite publice și private” aparținând altor utilizatori și organizații erau accesibile pe nodurile afectate. Pentru GitHub Enterprise Server, aceeași vulnerabilitate ar fi permis compromiterea completă a serverului, inclusiv acces la toate depozitele găzduite și la secrete interne. GitHub afirmă însă că o investigație criminalistică nu a găsit dovezi de exploatare înainte de dezvăluirea Wiz și că datele de telemetrie au indicat că toate declanșările traseului de cod anormal au fost generate exclusiv de testele cercetătorilor Wiz. Compania mai spune că nu au fost accesate, modificate sau exfiltrate date ale clienților înainte ca remedierea să fie implementată pe GitHub.com. Cine este afectat și ce actualizări sunt necesare CVE-2026-3854 afectează: GitHub.com GitHub Enterprise Cloud (inclusiv variantele cu Data Residency și Enterprise Managed Users) GitHub Enterprise Server (GHES) Pentru GitHub Enterprise Server, GitHub a publicat actualizări pentru toate versiunile suportate, indicând explicit următoarele versiuni cu patch: 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 sau mai noi, potrivit postării GitHub despre incident ( GitHub Blog ). Wiz a avertizat că, deși GitHub a remediat problema pe GitHub.com în decurs de șase ore, administratorii GHES ar trebui să facă upgrade „imediat”, susținând că aproximativ 88% dintre instanțele GHES accesibile public rămân vulnerabile (detalii în analiza Wiz: Wiz ). [...]