GitHub : vulnérabilité RCE critique CVE-2026-3854 découverte
Original : GitHub RCE Vulnerability: CVE-2026-3854 Breakdown
Pourquoi c'est important
Compromis critique de la plus grande plateforme de code au monde
Wiz Research a découvert une vulnérabilité critique (CVE-2026-3854) dans l'infrastructure git interne de GitHub permettant l'exécution de code à distance sur GitHub.com et Enterprise Server via une simple commande git push.
La vulnérabilité CVE-2026-3854 exploite une faille d'injection dans le protocole interne de GitHub, permettant à tout utilisateur authentifié d'exécuter des commandes arbitraires sur les serveurs backend avec un client git standard. Sur GitHub.com, elle donne accès à des millions de dépôts publics et privés sur les nœuds de stockage partagé. Sur GitHub Enterprise Server, elle permet un compromis complet du serveur. GitHub a corrigé le problème sur GitHub.com en 6 heures et publié des correctifs pour toutes les versions supportées d'Enterprise Server. Cette vulnérabilité, découverte grâce à l'IA dans des binaires closed-source, illustre l'évolution des méthodes de détection. 88% des instances GHES restent vulnérables selon Wiz.