Изследователи по киберсигурност откриха критична уязвимост в GitHub, най-голямата платформа в света за хостинг и сътрудничество по ИТ проекти. Пролуката в сигурността позволява на атакуващите да получат достъп до милиони частни хранилища с минимални усилия. Всичко, от което се нуждаят е една-единствена, специално създадена команда.
Уязвимостта, идентифицирана като CVE-2026-3854, има CVSS резултат 8,7 от 10 и е класифицирана като критична. Тя се дължи на неправилно обработване на вътрешни метаданни по време на стандартна операция за изпращане на код.
Разработчиците могат да добавят произволни двойки ключ-стойност, наречени push options, към git push и тези данни се озовават във вътрешния HTTP заглавен файл X-Stat, където полетата са разделени с точка и запетая (;).
Поради липсата на правилна проверка, атакуващият може да вмъкне символ “;” в потребителската опция, за да добави персонализирано поле към заглавката. Изследователи на Wiz откриха, че това може да се използва за отмяна на три критични параметъра на сървъра: rails_env, custom_hooks_dir и repo_pre_receive_hooks.
„Заместването на тези стойности позволява на атакуващия да деактивира “пясъчника” за сигурност и да насочи сървъра към файл на трета страна, което дава възможност за дистанционно изпълнение на код с привилегиите на системен потребител git“, поясняват експертите.
Колосални щети
Потенциалните щети от уязвимостта се оценяват като колосални. Тя засяга не само публичните ресурси GitHub.com и GitHub Enterprise Cloud, но и изолирани сървъри на GitHub Enterprise Server. За да извърши атаката, нападателят се нужда само от акаунт в платформата и право за изпращане на код към собствено хранилище.
В случая с GitHub.com, експертите на Wiz потвърдиха, че при използване на уязвимостта на споделени сървърни възли е възможно нападателите да получат достъп до милиони публични и частни хранилища, принадлежащи на други потребители и организации.
За GitHub Enterprise Servers атакуващият може дори да получи пълен контрол над устройството и всички данни и тайни, съхранявани на него.
След като беше уведомен за проблема от Wiz – чрез програмата Bug Bounty на 4 март 2026 г. – екипът по сигурността на GitHub реагира почти веднага. Уязвимостта беше възпроизведена в рамките на 40 минути, специалистите откриха причината и внедриха корекция в GitHub.com по-малко от два часа след потвърждаването на проблема.
Същевременно GitHub започна паралелно разследване, което разкри, че не е имало действителна експлоатация на уязвимостта. Това заключение е възможно благодарение на уникален код, който може да задейства експлойт, но не се използва по време на нормални операции на платформата.
Актуализации 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 и по-късни бяха издадени за локални версии на GitHub Enterprise Server.
Изкуственият интелект помогна
Изследователите от Wiz активно са използвали инструменти, задвижвани от изкуствен интелект, по-специално Claude Code и IDA MCP, за автоматично обратно инженерство на затворения код на GitHub, намалявайки времето за анализ от месеци на 48 часа.
Откритието се счита за забележително, тъй като демонстрира промяна в методологията за търсене на уязвимости в сложни затворени системи.
За това ценно откритие GitHub присъди на изследователите една от най-големите награди в историята на своята програма за откриване на грешки. Известно е, че такива награди достигат 30 000 долара или повече.
Въпреки липсата на доказателства за експлоатация към момента на публикуване на подробностите за уязвимостта на 28 април, Wiz предупреди, че 88 процента от публично достъпните екземпляри на GitHub Enterprise Server все още са уязвими.
Специалистите по сигурност призоваха всички администратори незабавно да актуализират сървърите си до най-новите версии, които включват необходимите корекции.
