ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьИсследователи обнаружили критическую уязвимость GitHub (CVE-2026-3854), позволяющую выполнить код удаленно (RCE), которую можно использовать посредством одной операции Git Push
Исследователи в области кибербезопасности раскрыли подробности критической уязвимости, затрагивающей GitHub.com и GitHub Enterprise Server, которая может позволить авторизованному пользователю выполнить удаленный код с помощью одной команды «git push».
Уязвимость, обозначенная как CVE-2026-3854 (оценка CVSS: 8,7), представляет собой случай внедрения команд, который может позволить злоумышленнику, имеющему доступ к репозиторию для отправки данных, выполнить удаленный код на экземпляре.
«Во время операции git push значения опций push, предоставленные пользователем, не проходили надлежащую очистку перед включением во внутренние заголовки службы», — говорится в рекомендации GitHub по данной уязвимости. «Поскольку во внутреннем формате заголовка использовался разделительный символ, который также мог встречаться в пользовательском вводе, злоумышленник мог внедрить дополнительные поля метаданных через специально сформированные значения опций push».
Обнаружением и сообщением об этой проблеме 4 марта 2026 года занималась принадлежащая Google компания Wiz, специализирующаяся на облачной безопасности, а GitHub проверил и развернул исправление на GitHub.com в течение двух часов.
Уязвимость также устранена в версиях GitHub Enterprise Server 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 и более поздних. Нет никаких доказательств того, что эта проблема когда-либо использовалась в злонамеренных целях.
По данным GitHub, проблема затрагивает GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud с функцией Data Residency, GitHub Enterprise Cloud с функцией Enterprise Managed Users и GitHub Enterprise Server.
В основе проблемы лежит тот факт, что предоставленные пользователем параметры git push не проходят надлежащую очистку перед включением значений во внутренний заголовок X-Stat. Поскольку внутренний формат метаданных использует точку с запятой в качестве разделителя, который также может присутствовать в пользовательском вводе, злоумышленник мог бы воспользоваться этой упущением для внедрения произвольных команд и их выполнения.
«Связав воедино несколько внедренных значений, исследователи продемонстрировали, что злоумышленник может переопределить среду, в которой обрабатывается push, обойти защиту песочницы, которая обычно ограничивает выполнение хуков, и в конечном итоге выполнить произвольные команды на сервере», — сказал директор по информационной безопасности GitHub Алексис Уэльс.
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
ПОВЫСЬТЕ КОМПЕТЕНЦИИ КОМАНДЫ
Бесплатное обучение по SC SIEM
Даем знания и навыки для эффективной работы.
Начать обучение
