GitHub RCE Kerentanan Kritis CVE-2026-3854 Ditemukan Wiz
Judul asli: GitHub RCE Vulnerability: CVE-2026-3854 Breakdown
Mengapa Ini Penting
Menunjukkan evolusi penemuan kerentanan menggunakan AI dan risiko infrastruktur kode global
Wiz Research menemukan kerentanan kritis CVE-2026-3854 di infrastruktur git internal GitHub yang memungkinkan eksekusi kode jarak jauh pada GitHub.com dan GitHub Enterprise Server melalui perintah git push tunggal.
Kerentanan ini memungkinkan pengguna terotentikasi menjalankan perintah arbitrary di server backend GitHub dengan mengeksploitasi flaw injeksi dalam protokol internal GitHub. Pada GitHub.com, kerentanan ini memberikan akses ke jutaan repositori publik dan pribadi milik pengguna lain. Untuk GitHub Enterprise Server, memberikan kompromi server penuh termasuk akses ke semua repositori dan rahasia internal. GitHub memitigasi masalah di GitHub.com dalam 6 jam setelah laporan dan merilis patch untuk semua versi GHES yang didukung. Data menunjukkan 88% instance GHES masih rentan. GitHub memberikan salah satu reward tertinggi dalam program Bug Bounty mereka untuk temuan ini. Ini adalah salah satu kerentanan kritis pertama yang ditemukan dalam binari closed-source menggunakan AI.