AIO APEX
Security

GitHub أصلح ثغرة حرجة في git push أثرت على private repositories

GitHub Security Blog
مشاركة:
GitHub أصلح ثغرة حرجة في git push أثرت على private repositories

كشفت GitHub تفاصيل CVE-2026-3854، وهي ثغرة حرجة من نوع remote code execution في Pipeline الخاصة بـ git push كان يمكن أن تعرّض ملايين private repositories للخطر. وبحسب GitHub، أبلغت Wiz عن المشكلة في 4 مارس، وتم patchها على GitHub.com خلال أقل من ساعتين، كما أصبحت Patchات enterprise متاحة الآن للعملاء الذين يديرون بيئاتهم بأنفسهم.

تكمن أهمية هذه القصة في أن المسار المتأثر يقع داخل واحد من أكثر أجزاء بنية GitHub التحتية حساسية، وهو المسار الذي يعالج عمليات push القادمة من المطورين. هذه ليست مجرد مشكلة عادية في web application، بل طريق محتمل إلى source code وأسرار داخلية وسلاسل توريد برمجية تعتمد عليها شركات كبيرة كل يوم.

وقالت GitHub إن المهاجم الذي يملك صلاحية push إلى أي repository، حتى لو أنشأه بنفسه، كان يمكنه استغلال push options غير المنقاة لحقن metadata داخلية موثوقة ثم الوصول في النهاية إلى تنفيذ أوامر عشوائية على الخادم الذي يعالج عملية push. وفي شرحها الرسمي قالت GitHub إن الاستغلال احتاج إلى أمر git push واحد فقط بصياغة crafted. أما Wiz، التي اكتشف باحثوها المشكلة عبر برنامج المكافآت، فقالت إن الأثر المحتمل على GitHub.com كان قد يمتد إلى ملايين repositories العامة والخاصة على عقد التخزين المشتركة المتأثرة.

وأضافت الشركة أن فريقها الأمني أعاد إنتاج المشكلة خلال 40 دقيقة، ونشر fix على GitHub.com في اليوم نفسه، ثم أجرى مراجعة forensic. وتقول GitHub إن تلك المراجعة لم تجد أي دليل على exploitation قبل الإبلاغ المسؤول. كما أزالت الشركة مسار code غير ضروري من البيئات المتأثرة ضمن جهد hardening أوسع.

يبقى الخطر التشغيلي الآن أكبر على GitHub Enterprise Server. فقد أصدرت GitHub إصلاحات للإصدارات المدعومة وقالت إن على المسؤولين تنفيذ upgrade فوراً ومراجعة audit logs بحثاً عن نشاط push مريب. هذه هي الخلاصة العملية هنا. حتى لو جرى patch GitHub.com بسرعة، يجب على عملاء enterprise التعامل مع هذه المسألة كأولوية remediation عالية، لأن أنظمة استضافة code قريبة من بقية طبقات stack البرمجي كلها تقريباً. وكما أبرزت BleepingComputer في تغطيتها الأوسع وشرحت GitHub وWiz في تفاصيلهما، فهذا من نوع ثغرات البنية التحتية التي يمكن أن تحول workflow مطور عادي إلى incident في سلسلة التوريد بسرعة كبيرة.

securitygithubremote-code-executionprivate-repositoriescve-2026-3854git

Originally reported by GitHub Security Blog. Read the original article for additional details.

View original source
مشاركة: