La faille désormais corrigée permettait aux utilisateurs authentifiés d’exécuter du code arbitraire via des requêtes git push contrefaites, affectant GitHub.com et Enterprise Server.
Une vulnérabilité critique d’exécution de code à distance (RCE) dans GitHub pourrait potentiellement permettre aux attaquants d’exécuter du code arbitraire sur GitHub.com et GitHub Enterprise Server.
Découvert par les chercheurs de Wiz, le bug désormais corrigé exploitait la façon dont GitHub gère les opérations « git push » côté serveur. En créant des entrées malveillantes dans un push Git standard, un utilisateur authentifié pourrait exécuter des commandes arbitraires via le pipeline de traitement Git backend de GitHub.
GitHub a reconnu la gravité de la découverte, le RSSI Alexis Wales notant : « Une découverte de ce calibre et de cette gravité est rare, ce qui lui vaut l’une des récompenses les plus élevées disponibles dans notre programme Bug Bounty. »
GitHub a résolu le problème sur GitHub.com et a publié des correctifs pour toutes les versions prises en charge de GitHub Enterprise Server quelques heures après la publication du rapport. Cependant, Wiz a déclaré que 88 % des instances d’Enterprise Server restaient vulnérables sur Internet au moment de la divulgation publique.
Traitement défectueux de git push par GitHub
La faille, identifiée comme CVE-2026-3854, provenait de la manière dont GitHub traite les requêtes push git au sein de son infrastructure backend Git. Selon Wiz, le problème implique un composant interne appelé X-STAT, qui se trouve sur le chemin de la gestion côté serveur des opérations Git par GitHub.
Les chercheurs de Wiz ont découvert qu’un git push spécialement conçu pouvait transmettre des entrées structurées de manière malveillante dans X-STAT, où elles n’étaient pas traitées en toute sécurité avant d’être incorporées dans l’exécution des commandes backend. Étant donné que ce traitement s’effectue côté serveur dans le cadre de la gestion normale des événements du référentiel par GitHub, l’entrée pourrait influencer la façon dont les commandes ont été construites ou exécutées dans ce pipeline.
La faille a reçu une note CVSS quasi critique de 8,8 sur 10 et a été corrigée dans les versions 3.14.25 à 3.20.0 de GitHub Enterprise Server. La faille a été classée par GitHub comme un problème « d’injection de commande », résultant d’une « neutralisation inappropriée des éléments spéciaux utilisés dans une commande ».
L’IA aurait été utilisée pour trouver cette faille, à l’aide de l’outil d’ingénierie inverse IDA MCP (augmenté par l’IA). « Il s’agit de l’une des premières vulnérabilités critiques découvertes dans les binaires fermés utilisant l’IA, mettant en évidence un changement dans la façon dont ces failles sont identifiées », a déclaré Sagi Tzadik, chercheur chez Wiz, dans un article de blog. « Malgré la complexité du système sous-jacent, la vulnérabilité est remarquablement facile à exploiter. »
Compromis total entre les locataires
Dans son analyse, Wiz a détaillé comment le problème pourrait passer de l’exécution initiale de la commande à l’exécution complète du code à distance sur les systèmes concernés.
« Sur GitHub.com, cette vulnérabilité permettait l’exécution de code à distance sur des nœuds de stockage partagés. Nous avons confirmé que des millions de référentiels publics et privés appartenant à d’autres utilisateurs et organisations étaient accessibles sur les nœuds concernés », a déclaré Tzadik, ajoutant que l’impact était encore plus grave pour les environnements auto-hébergés. Sur GitHub Enterprise Server, la vulnérabilité garantissait une compromission complète du serveur, y compris l’accès à tous les référentiels hébergés et aux secrets internes.
Wiz a confirmé qu’il n’avait pas accédé au contenu des référentiels d’autres locataires lors du test de l’exploit. « Nous avons validé l’exposition multi-tenants en utilisant uniquement nos propres comptes de test, confirmant que les autorisations du système de fichiers de l’utilisateur git permettraient de lire n’importe quel référentiel sur le nœud », a ajouté Tzadik.
GitHub a partagé les étapes de correction et tous les détails techniques dans un article de blog sur la sécurité, ajoutant que « GitHub Enterprise Cloud, GitHub Enterprise Cloud avec Enterprise Managed Users, GitHub Enterprise Cloud with Data Residency et github.com ont été corrigés le 4 mars 2026. Aucune action n’est requise de la part des utilisateurs de l’un d’entre eux.
Les utilisateurs de GitHub Enterprise Server ont été invités à appliquer immédiatement les correctifs disponibles pour toutes les versions prises en charge.
