Pesquisadores de cibersegurança divulgaram detalhes de uma vulnerabilidade crítica que afeta o GitHub.com e o GitHub Enterprise Server e que pode permitir que um usuário autenticado obtenha execução remota de código com um único comando de git push.
A falha, identificada como
CVE-2026-3854
, com CVSS 8,7, é um caso de injeção de comandos que pode permitir a um atacante com acesso de envio a um repositório executar código remotamente na instância.
"Durante uma operação de git push, os valores das opções de envio informadas pelo usuário não eram sanitizados corretamente antes de serem incluídos nos cabeçalhos internos do serviço", informou o aviso do GitHub sobre a vulnerabilidade.
"Como o formato interno do cabeçalho usava um caractere delimitador que também podia aparecer na entrada do usuário, um atacante poderia injetar campos extras de metadados por meio de valores de opções de envio elaborados."
A empresa de segurança em nuvem Wiz, que pertence ao Google, recebeu o crédito por descobrir e reportar o problema em 4 de março de 2026.
O GitHub validou a falha e distribuiu uma correção no GitHub.com em até duas horas.
A vulnerabilidade também foi corrigida nas versões 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 ou posteriores do GitHub Enterprise Server.
Não há evidências de que o problema tenha sido explorado de forma maliciosa.
Segundo o GitHub, a falha afeta o GitHub.com, o GitHub Enterprise Cloud, o GitHub Enterprise Cloud com Data Residency, o GitHub Enterprise Cloud com Enterprise Managed Users e o GitHub Enterprise Server.
Na prática, o problema ocorre porque as opções de git push fornecidas pelo usuário não eram higienizadas adequadamente antes de seus valores serem incorporados ao cabeçalho interno X-Stat.
Como o formato interno de metadados depende de um ponto e vírgula como caractere delimitador, que também pode aparecer na entrada do usuário, um agente malicioso poderia explorar essa brecha para injetar comandos arbitrários e fazê-los ser executados.
"Ao encadear vários valores injetados, os pesquisadores demonstraram que um atacante poderia sobrescrever o ambiente no qual o envio era processado, contornar as proteções de sandbox que normalmente restringem a execução de hooks e, por fim, executar comandos arbitrários no servidor", disse Alexis Wales, chefe de segurança da informação do GitHub.
Em um anúncio coordenado, a Wiz observou que a falha é "notavelmente fácil" de explorar e acrescentou que ela permite execução remota de código em nós de armazenamento compartilhados.
No momento da divulgação pública, cerca de 88% das instâncias estavam vulneráveis.
A cadeia de execução remota de código combina três etapas de injeção:
Injetar um valor rails_env não produtivo para contornar a sandbox
Injetar custom_hooks_dir para controlar ou redirecionar o diretório de hooks
Injetar repo_pre_receive_hooks com uma entrada de hook elaborada que aciona uma travessia de caminho para executar comandos arbitrários como o usuário git
"Com a execução de código sem sandbox como o usuário git, tivemos controle total sobre a instância do GHES, incluindo acesso de leitura e gravação ao sistema de arquivos e visibilidade da configuração interna dos serviços", afirmou o pesquisador de segurança da Wiz, Sagi Tzadik.
No caso do GitHub.com, um sinalizador de modo empresarial, que no GitHub Enterprise Server é definido como "true", vem por padrão como "false", o que desativa o caminho de hooks personalizados.
No entanto, como esse sinalizador também é transmitido no cabeçalho X-Stat, ele pode ser injetado da mesma forma, resultando também em execução de código no GitHub.com.
Para piorar, devido à arquitetura multi-inquilino do GitHub e à infraestrutura de backend compartilhada, a empresa observou que obter execução de código no GitHub.com permitia exposição entre inquilinos, possibilitando que um atacante lesse milhões de repositórios no nó de armazenamento compartilhado, independentemente da organização ou do usuário.
Diante da gravidade da
CVE-2026-3854
, os usuários são orientados a aplicar a atualização imediatamente para obter proteção ideal.
"Um único comando git push foi suficiente para explorar uma falha no protocolo interno do GitHub e obter execução de código na infraestrutura de backend", disse a Wiz.
"Quando vários serviços escritos em linguagens diferentes trafegam dados por meio de um protocolo interno compartilhado, as premissas que cada serviço faz sobre esses dados se tornam uma superfície crítica de ataque."
"Recomendamos que equipes que constroem arquiteturas com múltiplos serviços auditem como a entrada controlada pelo usuário flui pelos protocolos internos, especialmente quando configurações críticas de segurança são derivadas de formatos de dados compartilhados."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...