Nguồn: Wiz Research
Tóm tắt
Wiz Research đã phát hiện một lỗ hổng nghiêm trọng (CVE-2026-3854) trong cơ sở hạ tầng git nội bộ của GitHub, ảnh hưởng đến cả GitHub.com lẫn GitHub Enterprise Server. Bất kỳ người dùng đã xác thực nào cũng có thể thực thi lệnh tùy ý trên máy chủ backend của GitHub chỉ với một lệnh git push duy nhất — không cần công cụ đặc biệt nào.
Lỗ hổng nằm ở header X-Stat trong pipeline xử lý git push nội bộ. Header này truyền metadata bảo mật giữa các service (babeld, gitauth, gitrpcd) dưới dạng các cặp key=value phân tách bằng dấu chấm phẩy. babeld copy giá trị push option của người dùng trực tiếp vào header mà không lọc ký tự ;, cho phép kẻ tấn công inject thêm các field tùy ý — bao gồm cả các field bảo mật quan trọng. Vì header dùng cơ chế last-write-wins, field inject sau sẽ ghi đè lên giá trị hợp lệ phía trước.
Trên GitHub.com, khai thác thành công cho phép RCE trên các shared storage node, với khả năng truy cập vào hàng triệu repository của người dùng và tổ chức khác. Trên GitHub Enterprise Server, lỗ hổng tương tự dẫn đến chiếm quyền kiểm soát toàn bộ server, bao gồm tất cả repository và secret nội bộ. GitHub đã vá lỗi trên GitHub.com trong vòng 6 giờ sau khi nhận báo cáo; tuy nhiên tại thời điểm công bố, 88% instance GHES vẫn chưa được cập nhật.
Đáng chú ý là Wiz đã sử dụng AI-augmented tooling (IDA MCP) để tự động dịch ngược và phân tích binary đã biên dịch của GitHub — một quy trình trước đây không khả thi do chi phí nhân lực quá lớn. Đây là một trong những lỗ hổng nghiêm trọng đầu tiên được tìm ra trong closed-source binary bằng AI, đánh dấu sự thay đổi trong cách phát hiện lỗ hổng bảo mật phức tạp.