GitHub hat eine kritische git-push-Schwachstelle bei privaten Repositories behoben

GitHub hat Details zu CVE-2026-3854 veröffentlicht, einer kritischen remote-code-execution-Schwachstelle in seiner git-push-Pipeline, die Millionen privater Repositories gefährden konnte. Nach Angaben von GitHub wurde der Fehler am 4. März von Wiz gemeldet und auf GitHub.com in weniger als zwei Stunden gepatcht. Patches für self-hosted Enterprise-Kunden stehen jetzt ebenfalls bereit.

Wichtig ist diese Meldung vor allem wegen des betroffenen Bereichs. Der verwundbare Pfad lag in einem der sensibelsten Teile der GitHub-Infrastruktur, nämlich in dem Ablauf, der Pushes von Entwicklern verarbeitet. Das ist nicht einfach ein weiteres Problem in einer web application. Es ist ein möglicher Weg zu source code, internen Geheimnissen und Software-Lieferketten, auf die große Unternehmen täglich angewiesen sind.

GitHub erklärte, dass ein Angreifer mit Push-Zugriff auf ein beliebiges Repository, sogar auf ein selbst erstelltes, unsauber behandelte push options ausnutzen, vertrauenswürdige interne metadata einschleusen und schließlich beliebige Befehle auf dem Server ausführen konnte, der den Push verarbeitet. Laut GitHub reichte dafür ein einzelner specially crafted git push command. Wiz, dessen Forscher die Lücke über das Bug-Bounty-Programm fanden, sagte, dass der potenzielle Effekt auf GitHub.com Millionen öffentlicher und privater Repositories auf betroffenen Shared-Storage-Knoten hätte erreichen können.

Das Unternehmen sagt, sein Team habe das Problem in 40 Minuten reproduziert, den Fix noch am selben Tag auf GitHub.com ausgerollt und anschließend eine forensische Prüfung durchgeführt. GitHub zufolge fand diese Prüfung keine Hinweise auf eine Ausnutzung vor der Offenlegung. Zusätzlich entfernte das Unternehmen im Rahmen eines weitergehenden Hardening einen unnötigen Codepfad aus den betroffenen Umgebungen.

Das verbleibende operative Risiko liegt jetzt vor allem bei GitHub Enterprise Server. GitHub hat Korrekturen für unterstützte Versionen veröffentlicht und erklärt, Administratoren sollten sofort upgraden und Audit-Logs auf verdächtige Push-Aktivitäten prüfen. Das ist die praktische Konsequenz. Auch wenn GitHub.com schnell gepatcht wurde, sollten Enterprise-Kunden das als hochprioritäre Remediation behandeln, weil Code-Hosting-Systeme dicht am übrigen Software-Stack sitzen. Wie die breitere Berichterstattung von BleepingComputer hervorhob und GitHub sowie Wiz im Detail erklärten, handelt es sich um genau die Art von Infrastrukturfehler, die einen normalen Entwickler-Workflow sehr schnell in einen Supply-Chain-Vorfall verwandeln kann.