Критична уязвимост в GitHub Enterprise Server позволява Remote Code Execution и пълен контрол над сървъра

Изследователи по сигурността разкриха критична уязвимост в GitHub Enterprise Server (GHES), проследена като CVE-2026-3854, която позволява Remote Code Execution (RCE) и потенциално пълен контрол над сървъра.

Проблемът засяга вътрешната Git инфраструктура на GitHub и при успешна експлоатация може да даде възможност на автентикиран потребител да компрометира backend системи, да получи достъп до private repositories и вътрешни системни ресурси.

При GitHub Enterprise Server рискът е особено сериозен, тъй като може да доведе до пълен takeover на сървъра.

Как работи атаката

Уязвимостта е свързана с начина, по който вътрешният git proxy компонент babeld обработва user-supplied push options при използване на командата:

git push -o

Подадените стойности се записват във вътрешен X-Stat header, където специалният символ „;“ се използва като разделител между полета.

Липсата на правилна валидация позволява на атакуващия да инжектира допълнителни key-value параметри, като презаписва security-critical полета като:

• rails_env
• custom_hooks_dir
• repo_pre_receive_hooks

Това позволява изграждане на цял exploit chain без нужда от privilege escalation или допълнителни zero-day зависимости.

Пътят до пълно Remote Code Execution

Експлоатацията преминава през три основни стъпки:

1. Заобикаляне на sandbox средата

Чрез промяна на rails_env към non-production стойност, pre-receive hook процесът преминава към несандбоксиран execution path.

2. Пренасочване на hook директорията

Чрез custom_hooks_dir атакуващият контролира откъде системата зарежда hook scripts.

3. Path Traversal и изпълнение на произволен binary

С помощта на repo_pre_receive_hooks може да се изпълни произволен файл от файловата система директно като git service user.

Резултатът е пълен Remote Code Execution върху сървъра.

Какво означава това за GitHub Enterprise Server

При GHES успешната атака може да доведе до:

• пълен достъп до всички хоствани repositories
• read/write достъп до source code
• достъп до вътрешни secrets и credentials
• компрометиране на CI/CD среди
• lateral movement към други системи

При GitHub.com уязвимостта също е била валидирана, но GitHub потвърждава, че няма данни за реална експлоатация преди корекцията.

Засегнати версии и налични корекции

GitHub Enterprise Server

Уязвими версии:
≤ 3.19.1

Коригирани версии:

• 3.14.25
• 3.15.20
• 3.16.16
• 3.17.13
• 3.18.8
• 3.19.4+

Според Wiz, към момента на публичното разкриване около 88% от GHES инсталациите все още не са били обновени.

Какво препоръчва DIAMATIX

Организациите, използващи GitHub Enterprise Server, трябва незабавно да:

• приложат наличните security patches
• проверят /var/log/github-audit.log за необичайни git push operations
• търсят suspicious push option values със специални символи
• ограничат достъпа до административни git операции
• прегледат repository access controls и service account permissions

При подобни уязвимости скоростта на реакция е критична.

CISO Анализ

Този случай показва колко сериозен риск могат да представляват вътрешни trust relationships между инфраструктурни компоненти.

Проблемът не идва от класическа публична уязвимост във frontend layer, а от вътрешна логика между услуги, които се считат за trusted by design.

Точно такива сценарии често остават извън стандартните security проверки.

Особено важно е, че тук експлоатацията изисква единствено стандартен git client и валиден акаунт. Това прави атаката реалистична не само за външни атакуващи, но и при insider risk сценарии.

За enterprise среди Git платформите вече не са просто developer tools. Те са част от критичната operational инфраструктура.

Източници

• Wiz Research – Technical analysis of CVE-2026-3854
• GitHub Security Advisory – GitHub Enterprise Server patches
• GitHub Enterprise Server Release Notes – Fixed versions and mitigation guidance