Cybersicherheitsforscher haben die Details zu CVE-2026-3854 offengelegt, einer kritischen Schwachstelle mit einem CVSS-Score von 8.7, die GitHub.com und GitHub Enterprise Server betrifft. Dieser Befehlsinjektionsfehler ermöglicht es einem authentifizierten Benutzer mit Schreibzugriff auf ein Repository, durch einen einzigen git push-Befehl Code aus der Ferne auszuführen und so eine nicht autorisierte Kontrolle über den betroffenen Server zu erlangen.
Technische Details der Befehlsinjektion auf dem Server 🔥
Die Schwachstelle liegt in der Verarbeitung von Referenzen während des Push-Vorgangs. Wenn der Angreifer bösartige Änderungen sendet, validiert der Server die Benutzereingabe nicht korrekt, bevor er den Befehl verarbeitet. Dies ermöglicht das Einschleusen beliebiger Betriebssystembefehle. Die Ausnutzung erfordert Authentifizierung und Schreibberechtigungen, aber sobald der Server kompromittiert ist, kann der Angreifer Privilegien ausweiten, auf sensible Daten zugreifen oder zusätzliche Nutzlasten bereitstellen.
Der Push, der alles verändert (buchstäblich) 😈
Endlich eine Möglichkeit, einen git push wirklich aufregend zu machen. Vergiss das Lösen von Merge-Konflikten oder das Warten auf CI-Tests. Jetzt kannst du mit einem einzigen Befehl dein Repository in eine Hintertür für den GitHub-Server verwandeln. Das Beste daran ist, dass du kein Terminal-Ninja sein musst: Nur ein Benutzer mit Schreibberechtigungen und Lust zu experimentieren. Wenigstens hast du eine kreative Ausrede, wenn der Systemadministrator dich anruft.