Des chercheurs en sécurité de Wiz ont identifié une faille critique dans l'infrastructure interne de GitHub, permettant à tout utilisateur authentifié d'exécuter du code arbitraire sur les serveurs de la plateforme avec un simple git push. La faille, référencée CVE-2026-3854, exploitait les push options pour injecter des points-virgules dans le header interne X-Stat.

Ce qu'il faut retenir

  • Une faille critique dans l'infrastructure interne de GitHub a permis l'exécution de code arbitraire avec un simple git push
  • La vulnérabilité, référencée CVE-2026-3854, a touché GitHub.com et GitHub Enterprise Server (GHES)
  • 88 % des instances GHES étaient encore vulnérables lors de la divulgation de la faille

Découverte de la faille et impact

La découverte de la faille par Wiz Research a révélé que l'exploitation de cette vulnérabilité pouvait potentiellement permettre à des attaquants d'accéder aux dépôts privés d'organisations hébergées sur GitHub. La faille affectait la chaîne interne de push Git de GitHub, en exploitant un défaut de filtrage des points-virgules dans le header X-Stat.

Les conséquences de la vulnérabilité

La combinaison de certains champs sensibles pouvait ouvrir la voie à une exécution de code arbitraire à distance sur l'infrastructure interne de GitHub. Sur GitHub Enterprise Server, l'exploitation était directe, tandis que sur GitHub.com, une subtilité supplémentaire permettait de contourner les mesures de sécurité.

Et maintenant ?

Les correctifs ont été déployés rapidement par GitHub après le signalement de la faille. Il est crucial pour les utilisateurs de GitHub Enterprise Server de mettre à jour vers la version 3.19.3 ou ultérieure pour se protéger contre cette vulnérabilité. Les entreprises et organisations doivent rester vigilantes et appliquer les mises à jour recommandées.