Des chercheurs en cybersécurité ont révélé les détails de CVE-2026-3854, une vulnérabilité critique avec un score CVSS de 8,7 affectant GitHub.com et GitHub Enterprise Server. Cette faille d'injection de commandes permet à un utilisateur authentifié disposant d'un accès en écriture à un dépôt d'exécuter du code à distance via une seule commande git push, obtenant un contrôle non autorisé sur le serveur affecté.
Détails techniques de l'injection de commandes sur le serveur 🔥
La vulnérabilité réside dans la gestion des références lors de l'opération de push. Lorsque l'attaquant envoie des modifications malveillantes, le serveur ne valide pas correctement l'entrée de l'utilisateur avant de traiter la commande. Cela permet d'injecter des commandes arbitraires du système d'exploitation. L'exploitation nécessite une authentification et des permissions d'écriture, mais une fois le serveur compromis, l'attaquant peut élever ses privilèges, accéder à des données sensibles ou déployer des charges supplémentaires.
Le push qui change tout (littéralement) 😈
Enfin, une façon de rendre un git push vraiment excitant. Oubliez la résolution de conflits de fusion ou l'attente des tests CI. Maintenant, avec une seule commande, vous pouvez transformer votre dépôt en porte dérobée pour le serveur GitHub. Le meilleur, c'est que vous n'avez pas besoin d'être un ninja du terminal : juste un utilisateur avec des permissions d'écriture et l'envie d'expérimenter. Au moins, quand l'administrateur système vous appellera, vous aurez une excuse créative.