На GitHub была обнаружена опасная уязвимость, дающая злоумышленникам возможность с легкостью проникнуть в миллионы частных репозиториев.
Эксперты в области кибербезопасности выявили в GitHub (крупнейшая мировая платформа для размещения IT-проектов и их коллективной разработки) критическую брешь, которая позволяла хакерам без особых усилий получать доступ к миллионам приватных репозиториев. Для этого требовалась лишь одна особым образом составленная команда git push.
Уязвимость, получившая идентификатор CVE-2026-3854 и оценку 8,7 балла из 10 по системе CVSS, была признана критической. Ее суть заключалась в неправильной обработке внутренних метаданных в ходе стандартной процедуры отправки кода.
Разработчики могут добавлять к git push произвольные пары «ключ-значение», называемые push options, и эти данные попадали во внутренний HTTP-заголовок X-Stat, где поля разделяются точкой с запятой.
Из-за отсутствия должной проверки злоумышленник мог вставить в пользовательскую опцию символ ;, чтобы добавить в заголовок собственные поля.
Исследователи из Wiz выяснили, что таким образом можно переопределить три критических параметра сервера: rails_env, custom_hooks_dir и repo_pre_receive_hooks. Подмена этих значений позволяла отключить защитную «песочницу» и указать серверу путь к стороннему файлу, что приводило к удаленному выполнению кода с правами системного пользователя git.
Потенциальный ущерб от этой уязвимости оценивался как огромный. Она затрагивала не только публичный GitHub.com и GitHub Enterprise Cloud, но и изолированные серверы GitHub Enterprise Server. Для проведения атаки было достаточно иметь любой аккаунт на платформе и право отправлять код в собственный репозиторий.
В случае с GitHub.com эксперты Wiz подтвердили, что, эксплуатируя уязвимость на общих серверных узлах, можно было получить доступ к миллионам публичных и приватных репозиториев других пользователей и организаций. Для собственных серверов GitHub Enterprise Server атакующий мог получить полный контроль над устройством и всеми хранящимися на нем данными и секретами.
После получения отчета от Wiz четвертого марта 2026 года через программу Bug Bounty, служба безопасности GitHub отреагировала практически мгновенно. Уязвимость воспроизвели за сорок минут, а инженеры нашли причину и развернули исправление на GitHub.com уже в 19:00 UTC того же дня — с момента подтверждения проблемы прошло менее двух часов.
Одновременно с этим было проведено криминалистическое расследование, которое установило, что уязвимость на самом деле не эксплуатировалась. К такому выводу пришли благодаря уникальному пути выполнения кода, который задействовал бы эксплойт и не используется в ходе обычной работы платформы. Для локальных версий GitHub Enterprise Server вышли обновления 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 и более новые.
Специалисты из Wiz активно использовали инструменты на основе искусственного интеллекта, такие как Claude Code и IDA MCP, для автоматизированного реверс-инжиниринга закрытого кода GitHub, что позволило сократить время анализа с нескольких месяцев до сорока восьми часов. Это открытие называют знаковым, так как оно демонстрирует изменение подхода к поиску уязвимостей в сложных закрытых системах.
За столь ценную находку GitHub выплатил исследователям одно из самых крупных вознаграждений в истории своей программы баг-баунти — известно, что такие выплаты могут достигать 30 тысяч долларов и более.
Хотя следов эксплуатации обнаружено не было, компания Wiz на момент публикации деталей уязвимости 28 апреля 2026 года предупредила, что 88 процентов публично доступных экземпляров GitHub Enterprise Server всё ещё остаются уязвимыми. Поэтому всем администраторам настоятельно рекомендуется немедленно обновить свои серверы до последних версий с исправлениями.
