GitHubでリモートコード実行脆弱性発見
原題: GitHub RCE Vulnerability: CVE-2026-3854 Breakdown
なぜ重要か
世界最大のコードホスティングプラットフォームの重大な脆弱性発見は、AIによるセキュリティ研究の新たな可能性を示している。
Wizの研究者がGitHubの内部gitインフラに重大な脆弱性CVE-2026-3854を発見した。認証済みユーザーが単一のgit pushコマンドでGitHub.comおよびGitHub Enterprise Serverのバックエンドサーバーで任意コードを実行可能。GitHubは6時間以内に対処し、企業版には修正パッチを公開した。
セキュリティ企業Wizの研究チームが、GitHubの内部gitインフラに存在する重大な脆弱性CVE-2026-3854を発見した。この脆弱性により、認証済みユーザーが標準のgitクライアントを使用して単一のgit pushコマンドを実行するだけで、GitHubのバックエンドサーバーで任意のコードを実行できる状態だった。GitHubの内部プロトコルにおけるインジェクション欠陥を悪用することで実現される。この脆弱性はAIを使用してクローズドソースバイナリで発見された初の重大な脆弱性の一つとして注目されている。GitHub.comでは共有ストレージノードでのリモートコード実行が可能で、他のユーザーや組織の数百万のパブリック・プライベートリポジトリへのアクセスが確認された。GitHub Enterprise Serverでは完全なサーバー侵害が可能で、ホストされた全リポジトリと内部シークレットへのアクセスが得られる。GitHubは報告から6時間以内にGitHub.comの問題を軽減し、サポート対象の全GitHub Enterprise Serverバージョンに修正パッチを公開した。GitHub CISOのAlexis Wales氏は、この発見を「稀な規模と深刻度」と評価し、バグバウンティプログラムで最高報奨金の一つを授与したと発表した。GitHub Enterprise Serverの管理者は直ちにバージョン3.19.3以降への更新が必要で、現時点で88%のインスタンスが依然として脆弱な状態にあるという。