GitHub устранила критическую уязвимость с доступом к миллионам частных репозиториев

В начале марта GitHub устранил критическую уязвимость удалённого выполнения кода (CVE-2026-3854), которая могла позволить злоумышленникам получить доступ к миллионам частных репозиториев.

Об этой уязвимости сообщили 4 марта 2026 года исследователи из компании Wiz, занимающейся кибербезопасностью, в рамках программы вознаграждения за обнаружение ошибок GitHub. Главный специалист по информационной безопасности GitHub Алексис Уэльс заявил, что команда безопасности компании воспроизвела и подтвердила её в течение 40 минут и развернула исправление менее чем через два часа после получения сообщения.

Уязвимость CVE-2026-3854 затрагивает GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud с Data Residency, GitHub Enterprise Cloud с Enterprise Managed Users и GitHub Enterprise Server. Для успешной эксплуатации достаточно одной специально созданной вредоносной команды 'git push', которая может предоставить злоумышленникам с правами на отправку данных полный доступ на чтение/запись к частным репозиториям на GitHub.com или уязвимым серверам GitHub Enterprise.

Уязвимость заключается в том, как GitHub обрабатывает параметры, предоставляемые пользователями во время операций git push: передаваемые значения включаются во внутренние метаданные сервера без достаточной проверки, что позволяет злоумышленникам внедрять дополнительные поля, которым доверяет нижестоящий сервис. Как пояснил Уэльс, злоумышленник может обойти защиту песочницы и выполнить произвольный код на сервере, обрабатывающем push, путём объединения нескольких внедрённых значений. «Эксплуатация может привести к раскрытию кодовых баз почти всех крупнейших предприятий мира, что делает эту уязвимость одной из самых серьёзных уязвимостей SaaS, когда-либо обнаруженных», —