Исследователи в области кибербезопасности раскрыли детали CVE-2026-3854 — критической уязвимости с оценкой CVSS 8.7, затрагивающей GitHub.com и GitHub Enterprise Server. Эта ошибка внедрения команд позволяет аутентифицированному пользователю с правами на запись в репозиторий выполнить удаленный код с помощью одной команды git push, получая несанкционированный контроль над затронутым сервером.
Технические детали внедрения команд на сервере 🔥
Уязвимость заключается в обработке ссылок во время операции push. Когда атакующий отправляет вредоносные изменения, сервер некорректно проверяет ввод пользователя перед обработкой команды. Это позволяет внедрять произвольные команды операционной системы. Для эксплуатации требуются аутентификация и права на запись, но после компрометации сервера атакующий может повысить привилегии, получить доступ к конфиденциальным данным или развернуть дополнительные нагрузки.
Push, который меняет всё (буквально) 😈
Наконец-то способ сделать git push по-настоящему захватывающим. Забудьте о разрешении конфликтов слияния или ожидании прохождения CI-тестов. Теперь одной командой вы можете превратить свой репозиторий в бэкдор для сервера GitHub. Самое приятное — вам не нужно быть терминальным ниндзя: достаточно пользователя с правами на запись и желания экспериментировать. По крайней мере, когда системный администратор вам позвонит, у вас будет творческое оправдание.