GitHubが数百万個のプライベートリポジトリへのアクセスを許可したRCE脆弱性を修正

3月上旬、GitHubが、数百万個のプライベートリポジトリへのアクセスを攻撃者に許可する可能性があった重大なリモートコード実行脆弱性（CVE-2026-3854）にパッチを当てました。

この脆弱性は2026年3月4日に、サイバーセキュリティ企業Wizの研究者によってGitHubのバグ報奨プログラムを通じて報告されました。GitHubのチーフインフォメーションセキュリティオフィサーであるAlexis Wales氏は、同社のセキュリティチームが報告を受けてから40分以内に脆弱性を再現・確認し、2時間以内にGitHub.comへのパッチを展開したと述べました。

CVE-2026-3854はGitHub.com、GitHub Enterprise Cloud、GitHub Enterprise Cloud with Data Residency、GitHub Enterprise Cloud with Enterprise Managed Users、およびGitHub Enterprise Serverに影響します。

悪意のある単一の’git push’コマンドのみで成功した悪用が可能で、プッシュアクセスを持つ攻撃者にGitHub.comまたは脆弱なGitHub Enterpriseサーバ上のプライベートリポジトリへの完全な読み取り/書き込みアクセスを付与することができます。

この脆弱性はGitHubがgit pushオペレーション中のユーザー提供オプションの処理方法にあり、ユーザーが渡した値が十分なサニタイゼーションなしに内部サーバメタデータに組み込まれ、攻撃者がダウンストリームサービスによって信頼される追加フィールドを注入することを可能にします。

Wales氏が火曜日に説明したように、攻撃者は複数の注入された値をチェーンすることで、サンドボックス保護をバイパスし、プッシュを処理するサーバ上で任意のコードを実行することができます。

「この悪用は世界最大級の企業のほぼすべてのコードベースを公開する可能性があり、今まで見つかった中で最も深刻なSaaS脆弱性の1つになるものです」とWizのスポークスパーソンはBleepingComputerに述べました。

「GitHub.comでは、この脆弱性によって共有ストレージノード上でリモートコード実行が可能になりました。影響を受けたノード上で他のユーザーとオーガナイゼーションに属する数百万個のパブリックおよびプライベートリポジトリにアクセス可能だったことを確認しました」とWizのセキュリティ研究者Sagi Tzadik氏が火曜日のレポートで述べました。

「GitHub Enterprise Serverでは、同じ脆弱性がサーバ全体の侵害を許可し、ホストされているすべてのリポジトリと内部シークレットへのアクセスを含みます。」

Tzadik氏はまた、GitHubはGitHub.com上でこの重大なセキュリティ問題を6時間以内にパッチしましたが、GitHub Enterprise Server（GHES）管理者は直ちにアップグレードすべきだと警告しました。到達可能なGHESインスタンスの約88％が依然脆弱なままだからです。

しかし、脆弱性の深刻さにもかかわらず、法医学的調査ではWiz開示前の悪用の証拠は見つからず、GitHubはテレメトリデータが脆弱性によってトリガーされた異常なコードパスのすべてのインスタンスがWiz研究者のテストのみに起因することを確認したと述べました。

Wales氏は、他のユーザーまたはアカウントがこの脆弱性を悪用するために使用されたコードパスをトリガーしておらず、GitHub.com上にパッチが展開される前のCVE-2026-3854悪用の結果として顧客データがアクセス、変更、または流出されなかったと追加しました。

「GitHub Enterprise Serverについては、サポートされているすべてのリリース（3.14.25、3.15.20、3.16.16、3.17.13、3.18.8、3.19.4、3.20.0以降）全体でパッチを準備し、CVE-2026-3854を公開しました」とWales氏は述べました。「これらは本日から利用可能で、すべてのGHES顧客に直ちにアップグレードすることを強くお勧めします。」