Kritische Lücke in GitHub erlaubt Code-Einschleusung per Push-Befehl

KI-Zusammenfassung

Sicherheitsforscher von Wiz haben eine schwere Schwachstelle in GitHub.com und GitHub Enterprise Server aufgedeckt, die authentifizierten Nutzern mit Push-Berechtigung die Ausführung beliebiger Befehle auf Backend-Servern ermöglichte. Die als CVE-2026-3854 erfasste Lücke (CVSS4-Score 8,7, Risikostufe "hoch") beruht auf einem Injection-Fehler in internen Protokollen: Spezielle Elemente in Push-Optionen wurden unzureichend gefiltert und in Service-Header übernommen, wodurch Angreifer zusätzliche Metadaten-Felder einschleusen konnten. Auf GitHub.com ließ sich Schadcode auf geteilten Storage-Nodes ausführen, bei GitHub Enterprise Server war eine vollständige Kompromittierung des Servers möglich — einschließlich Zugriff auf alle gehosteten Repositories und interne Geheimnisse. Die Wiz-Forscher gaben an, die Schwachstelle mithilfe von KI identifiziert zu haben. GitHub.com wurde innerhalb von sechs Stunden nach Meldung gepatcht.