साइबर सुरक्षा शोधकर्ताओं ने CVE-2026-3854 का विवरण सार्वजनिक किया है, जो GitHub.com और GitHub Enterprise Server को प्रभावित करने वाली 8.7 CVSS स्कोर वाली एक गंभीर कमजोरी है। यह कमांड इंजेक्शन दोष किसी रिपॉजिटरी पर लेखन पहुंच वाले प्रमाणित उपयोगकर्ता को एक ही git push कमांड के माध्यम से रिमोट कोड निष्पादित करने की अनुमति देता है, जिससे प्रभावित सर्वर पर अनधिकृत नियंत्रण प्राप्त होता है।
सर्वर पर कमांड इंजेक्शन के तकनीकी विवरण 🔥
यह कमजोरी पुश ऑपरेशन के दौरान रेफरेंस के प्रबंधन में निहित है। जब हमलावर दुर्भावनापूर्ण परिवर्तन भेजता है, तो सर्वर कमांड को प्रोसेस करने से पहले उपयोगकर्ता इनपुट को सही ढंग से मान्य नहीं करता है। यह ऑपरेटिंग सिस्टम के मनमाने कमांड इंजेक्ट करने की अनुमति देता है। शोषण के लिए प्रमाणीकरण और लेखन अनुमतियों की आवश्यकता होती है, लेकिन एक बार सर्वर से समझौता हो जाने पर, हमलावर विशेषाधिकार बढ़ा सकता है, संवेदनशील डेटा तक पहुंच सकता है या अतिरिक्त पेलोड तैनात कर सकता है।
वह पुश जो सब कुछ बदल देता है (शाब्दिक रूप से) 😈
अंततः, एक ऐसा तरीका जो git push को वास्तव में रोमांचक बनाता है। मर्ज विरोधों को हल करने या CI परीक्षण पास होने की प्रतीक्षा करने के बारे में भूल जाइए। अब, एक ही कमांड के साथ, आप अपने रिपॉजिटरी को GitHub सर्वर के लिए बैकडोर में बदल सकते हैं। सबसे अच्छी बात यह है कि आपको टर्मिनल का निंजा होने की आवश्यकता नहीं है: बस लेखन अनुमतियों वाला एक उपयोगकर्ता और प्रयोग करने की इच्छा। कम से कम, जब सिस्टम एडमिनिस्ट्रेटर आपको कॉल करेगा, तो आपके पास एक रचनात्मक बहाना होगा।