AIO APEX
Security

GitHub a corrigé une faille critique de git push touchant les dépôts privés

GitHub Security Blog
Partager:
GitHub a corrigé une faille critique de git push touchant les dépôts privés

GitHub a publié les détails de CVE-2026-3854, une vulnérabilité critique de remote code execution dans son Pipeline git push qui pouvait exposer des millions de dépôts privés. D'après GitHub, Wiz a signalé le bug le 4 mars et le correctif a été déployé sur GitHub.com en moins de deux heures. Des Patchs pour les clients enterprise self-hosted sont désormais disponibles.

L'importance de cette affaire tient à l'endroit où se trouvait la faille. Le chemin vulnérable se situait dans l'une des parties les plus sensibles de l'infrastructure de GitHub, celle qui traite les push des développeurs. Ce n'est pas un simple problème de web application. C'est une porte potentielle vers le source code, des secrets internes et des chaînes d'approvisionnement logicielle dont dépendent de grandes entreprises.

GitHub explique qu'un attaquant disposant d'un accès push à n'importe quel repository, même créé par lui-même, pouvait exploiter des push options insuffisamment sanitizées, injecter des metadata internes de confiance puis finir par exécuter des commandes arbitraires sur le serveur qui traitait le push. Dans son billet, GitHub indique que l'exploit ne nécessitait qu'une seule commande git push crafted. Wiz, dont les chercheurs ont découvert la faille via le programme de bug bounty de GitHub, a indiqué que l'impact potentiel sur GitHub.com pouvait concerner des millions de dépôts publics et privés hébergés sur des nœuds partagés affectés.

L'entreprise dit que son équipe a reproduit le problème en 40 minutes, déployé le fix sur GitHub.com le jour même, puis lancé une analyse forensic. GitHub affirme que cette analyse n'a trouvé aucun signe d'exploitation avant la divulgation. L'entreprise a aussi supprimé un code path inutile des environnements concernés dans le cadre d'un effort de hardening plus large.

Le risque opérationnel restant se situe maintenant surtout du côté de GitHub Enterprise Server. GitHub a publié des correctifs pour les versions supportées et recommande aux administrateurs de faire l'upgrade immédiatement et de vérifier les audit logs à la recherche d'activités push suspectes. C'est la conclusion pratique ici. Même si GitHub.com a été patché rapidement, les clients enterprise doivent traiter ce sujet comme une remediation prioritaire, car les systèmes d'hébergement de code sont proches du reste du stack logiciel. Comme l'a souligné BleepingComputer dans sa couverture plus large, et comme GitHub et Wiz l'ont détaillé, c'est exactement le type de faille d'infrastructure capable de transformer très vite un workflow de développement en incident de supply chain.

securitygithubremote-code-executionprivate-repositoriescve-2026-3854git

Originally reported by GitHub Security Blog. Read the original article for additional details.

View original source
Partager: