AIO APEX
Security

GitHub یک نقص بحرانی در git push را که روی private repositoryها اثر می‌گذاشت patch کرد

GitHub Security Blog
اشتراک‌گذاری:
GitHub یک نقص بحرانی در git push را که روی private repositoryها اثر می‌گذاشت patch کرد

GitHub جزئیات CVE-2026-3854 را منتشر کرده است، یک آسیب‌پذیری بحرانی از نوع remote code execution در Pipeline مربوط به git push که می‌توانست میلیون‌ها private repository را در معرض خطر قرار دهد. به گفته GitHub، این باگ در 4 مارس توسط Wiz گزارش شد و کمتر از دو ساعت بعد روی GitHub.com patch شد. Patchهای مربوط به نسخه‌های enterprise نیز اکنون برای مشتریان self-hosted منتشر شده‌اند.

اهمیت این خبر به این برمی‌گردد که مسیر آسیب‌پذیر در یکی از حساس‌ترین بخش‌های زیرساخت GitHub قرار داشت: همان جریانی که pushهای توسعه‌دهندگان را پردازش می‌کند. چنین نقصی فقط یک مشکل معمولی در یک web application نیست. این می‌تواند راهی به سمت source code، secretهای داخلی و حتی زنجیره تأمین نرم‌افزار شرکت‌های بزرگ باز کند.

GitHub توضیح داده که یک مهاجم با دسترسی push به هر repository، حتی repositoryای که خودش ساخته باشد، می‌توانست از push optionهای unsanitized سوءاستفاده کند، metadata داخلی مورد اعتماد را تزریق کند و در نهایت روی سروری که push را پردازش می‌کند command دلخواه اجرا کند. خود GitHub گفته exploit فقط به یک دستور crafted از نوع git push نیاز داشت. Wiz هم گفته بود که روی GitHub.com، اثر بالقوه این نقص می‌توانست به میلیون‌ها repository عمومی و خصوصی روی nodeهای ذخیره‌سازی مشترک برسد.

این شرکت می‌گوید تیم داخلی‌اش ظرف 40 دقیقه مشکل را بازتولید کرد، همان روز fix را روی GitHub.com مستقر کرد و بعد یک بررسی forensic انجام داد. GitHub می‌گوید در این بررسی هیچ نشانه‌ای از exploitation پیش از disclosure پیدا نشده است. این شرکت همچنین در قالب یک hardening گسترده‌تر، یک code path غیرضروری را هم از محیط‌های آسیب‌دیده حذف کرد.

ریسک عملیاتی باقی‌مانده اکنون بیشتر متوجه GitHub Enterprise Server است. GitHub برای نسخه‌های پشتیبانی‌شده patch منتشر کرده و گفته مدیران باید فوراً upgrade کنند و audit logها را برای pushهای مشکوک بررسی کنند. takeaway عملی همین‌جاست. حتی اگر GitHub.com سریع patch شده باشد، مشتریان enterprise باید این مورد را remediation با اولویت بالا بدانند، چون سامانه‌های میزبانی code به تقریب به تمام لایه‌های دیگر stack نرم‌افزار نزدیک هستند. همان‌طور که BleepingComputer این موضوع را برجسته کرد و GitHub و Wiz نیز با جزئیات توضیح دادند، این دقیقاً از آن نوع باگ‌های زیرساختی است که می‌تواند یک workflow توسعه‌دهنده را خیلی سریع به یک incident در زنجیره تأمین تبدیل کند.

securitygithubremote-code-executionprivate-repositoriescve-2026-3854git

Originally reported by GitHub Security Blog. Read the original article for additional details.

View original source
اشتراک‌گذاری: