Wizの研究者たちは、GitHubのgitインフラストラクチャの高い重大度の脆弱性を発見したおかげで、相応の報酬を得ることになった。この脆弱性により、遠隔攻撃者は単一のコマンドを使用してプライベートGitHubリポジトリへの完全な読み書きアクセス権を得ることができた。
Google傘下のセキュリティ企業であるWizは、今週この脆弱性を公開するとともに、その発見がクローズドソースソフトウェアの脆弱性発見方法の転機となる可能性があると述べた。
Wizは火曜日、CVE-2026-3854(8.8)に関連する調査結果を公開した。
同社の研究者たちは2年間GitHubに取り組んできたが、その間、内部バイナリの規模を考えると、リバースエンジニアリングは大きすぎるタスクと見なされていた。
彼らはClaude Codeを使用して、プロセスの多くの下準備を削減し、アイデアから動作するエクスプロイトまで48時間以内に実現することができた。
「AIを活用したツール、特にIDA MCPを使用した自動リバースエンジニアリングを活用することで、これまでコストがかかりすぎて不可能だったことを実現できた」とWizはブログに書いた。「AIを使用して、GitHubのコンパイル済みバイナリを迅速に分析し、内部プロトコルを再構築し、パイプライン全体でユーザー入力がサーバー動作に影響を与える可能性のある場所を体系的に特定できた。
「この新しい機能のおかげで、その入力がGitHubのマルチサービスアーキテクチャ全体でどのように流れるかに関する根本的な欠陥を発見できた。」
Wizは、AI以前の時代、このような発見には経験豊富な人物による数ヶ月分の手動分析が必要だったと述べた。汎用的なAIツールを使用することで、より迅速かつ簡単に実施でき、これは防御側と攻撃側の両方にとって有利だ。
脆弱性の説明
Wizは脆弱性がどのように機能するかについての完全な技術的な詳細を持っているが、これは簡潔に言えば、GitHubの内部サービスがプッシュリクエストの処理時にユーザー入力を盲目的に信頼する方法の欠陥として要約できる。
プッシュオプションはgitプロトコルの意図的な機能で、キー値文字列をサーバーに送信するために設計されている。これらのオプションは、サービス間で渡される内部X-Stat HTTPヘッダーにパッケージ化される。
しかし、この脆弱性は、ユーザーが提供したプッシュオプション値が盲目的に信頼され、プッシュリクエストの内部メタデータに組み込まれる方法を悪用した。
重要な点として、ここでのメタデータはデリミタ文字(ヌルバイト)で区切られており、ユーザーはこれをプッシュオプションに入力することもできる。攻撃者はこのデリミタ文字をプッシュコマンドで悪用して、サーバーにそれを信頼できる内部値として受け入れるよう騙すことができる。
Wizは元々GitHub Enterprise Server(GHES)で脆弱性をテストし、X-Statフィールドへの追加のインジェクションにより、同じエクスプロイトチェーンがGitHub.comでも機能することを発見した。
GitHubの対応
Wizが指摘した通り、GitHubはその報告に対応し、6時間以内に脆弱性の修正をリリースしたほか、将来同様の脆弱性が発生した場合、それが同じ影響を与えるのを防ぐための追加の強化措置を実施した。
また、GitHub.com上でこの攻撃を実際に実行した攻撃者がいないことを確認したが、GHESの顧客に対しては、アクセスログで不正行為の兆候がないか確認することを勧告した。
GitHubのCISO(最高情報セキュリティ責任者)であるAlexis Walesはこの発見についてWizに感謝し、GitHubのバグ報奨金プログラムの歴史の中でも最大級の報奨金でチームに報酬を与えると述べた。
「GitHubはこのプロセス全体を通じてWizが示してくれた協力、専門性、パートナーシップに非常に感謝しています」と彼女は述べた。
「このような規模と重大度の発見は珍しく、バグ報奨金プログラムで利用可能な最高の報酬の1つを獲得する価値があります。これは、最も影響力のあるセキュリティ研究は、正しい質問をする方法を知っている熟練した研究者から生まれることを思い出させてくれます。
「状況が進化するにつれて、才能あるハンターと研究者との緊密なパートナーシップはこれまで以上に重要になります。」
CVE-2026-3854は国立標準技術研究所(NIST)により8.8のCVSSスコアを与えられました。これは最高の「重大」分類より1段階下ですが、WizもGitHubもそれが重大度スコアが示唆するよりも影響力があると見ている。
Microsoftの傘下企業であるGitHubは、Wizに「バグ報奨金プログラムで利用可能な最高の報酬の1つ」を与えたと述べただけで、具体的な金額は明かさなかった。GitHubのバグ報奨金ガイドによると、重大な脆弱性は通常研究者に$20,000から$30,000の報酬をもたらすが、同社は特に影響力のある欠陥に対してはより大きな金額を支払うことで知られている。
例えば、これまでで最も利益をもたらした脆弱性は2023年に報告され、GitHubは既にパッチが適用されたその欠陥に$75,000を授与した。その欠陥はプロダクション環境のコンテナの環境変数へのアクセスを許可していた。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/29/github_woah_a_genuinely_helpful/
