Investigadores de ciberseguridad han revelado los detalles de CVE-2026-3854, una vulnerabilidad crítica con puntuación CVSS de 8.7 que afecta a GitHub.com y GitHub Enterprise Server. Esta falla de inyección de comandos permite a un usuario autenticado con acceso de escritura a un repositorio ejecutar código remoto mediante un solo comando git push, logrando control no autorizado sobre el servidor afectado.
Detalles técnicos de la inyección de comandos en el servidor 🔥
La vulnerabilidad reside en el manejo de referencias durante la operación de push. Cuando el atacante envía cambios maliciosos, el servidor no valida correctamente la entrada del usuario antes de procesar el comando. Esto permite inyectar comandos arbitrarios del sistema operativo. La explotación requiere autenticación y permisos de escritura, pero una vez comprometido el servidor, el atacante puede escalar privilegios, acceder a datos sensibles o desplegar cargas adicionales.
El push que lo cambia todo (literalmente) 😈
Por fin, una forma de hacer que un git push sea realmente emocionante. Olvídate de resolver conflictos de merge o de esperar a que pasen los tests de CI. Ahora, con un solo comando, puedes convertir tu repositorio en una puerta trasera para el servidor de GitHub. Lo mejor es que no necesitas ser un ninja de la terminal: solo un usuario con permisos de escritura y ganas de experimentar. Al menos, cuando el administrador del sistema te llame, tendrás una excusa creativa.