GitHubの脆弱性により単一のGit Pushでリモートコード実行が可能

GitHubのインフラストラクチャの脆弱性により、攻撃者は標準的なgit pushコマンドだけを使用してバックエンドシステムでコードを実行できた可能性があります。

この脆弱性はGitHub.comとGitHub Enterprise Server (GHES)の両方に影響を与え、パッチが適用される前に数百万のリポジトリが侵害される可能性にさらされていました。

「GitHubの内部プロトコルのインジェクション脆弱性を悪用することで、認証されたユーザーなら誰でも単一のgit pushコマンドでGitHubのバックエンドサーバー上で任意のコマンドを実行できます」と述べたWizの研究者らは語りました。

GitHub CVE-2026-3854について

脆弱性CVE-2026-3854により、認証されたユーザーなら誰でも権限をエスカレートし、GitHubのバックエンドシステムで任意のコマンドを実行できます。

これにより、機密のコードリポジトリ、内部構成、およびシークレットへの不正なアクセスの可能性が生じました。

この脆弱性は、GitHubの内部gitプロトコル内の入力検証の失敗に由来します。

ユーザーが提供するgit pushオプションは、適切なサニタイズなしにX-Statヘッダーとして知られる内部メタデータ構造に直接埋め込まれました。

このヘッダーはセミコロンで区切られたキーバリューペアに依存しているため、攻撃者は入力にセミコロンを含めるだけで追加フィールドをインジェクトできます。

問題を複雑にしているのは、システムが「ラストライトウィン」解析モデルを使用してこれらのフィールドを処理することです。

これは、ヘッダーの後半に現れるインジェクトされた値が、リクエストの前半で定義された正当なセキュリティコントロールをオーバーライドできることを意味します。

この動作を悪用することで、攻撃者は実行環境やフック構成などの重要な設定を操作し、最終的にはリモートコード実行を可能にすることができます。

攻撃には特別なツールが必要なく、単一のクラフトされたgit pushが完全な悪用チェーンをトリガーでき、悪用しやすくしていました。

GHESでは、悪用に成功するとサーバーの完全な侵害につながる可能性があり、ホストされたリポジトリと内部データへの完全なアクセスも含まれます。

GitHub[.]comでは、マルチテナントアーキテクチャのため、リスクはさらに拡大していました。共有ストレージノードを侵害すると、他のユーザーと組織に属するリポジトリが公開される可能性がありました。

GitHubはその後、影響を受けたGHESバージョンのパッチをリリースしており、公開時点では確認された攻撃の報告はありません。

セルフホストGitHub環境のセキュリティ保護には、パッチ適用以上が必要であり、段階的でプロアクティブなアプローチが含まれるべきです。

最新のGHESバージョンにアップグレードし、本番環境にデプロイする前にステージング環境で更新をテストしてください。
ユーザーアクセスを監査し、権限を制限し、有効期間の長い認証情報の使用を制限することで、最小権限を実装してください。
監視し、監査ログをSIEMに送信してgit活動をログに記録し、異常なプッシュオプション、フック実行、またはその他の異常な動作について警告してください。
カスタムフックを制限し、実行パスを検証し、不要な機能を無効にすることで、構成をセキュリティ強化してください。
入力検証と内部信頼境界を強化して、すべてのユーザー制御データがサービス全体でサニタイズされることを確認してください。
GHESシステムを隔離し、ネットワークアクセスを制限し、ホスト上にエンドポイント検出をデプロイすることで、インフラストラクチャをセグメント化および保護してください。
ソフトウェアサプライチェーン侵害を中心としたシナリオでインシデント対応計画をテストしてください。

これらのステップにより、組織はGitHub環境全体の全体的な露出を削減しながら、侵害に対する耐性を構築するのに役立ちます。

CVE-2026-3854は、現代のアプリケーションセキュリティの一般的な課題である、相互接続されたサービス全体の複雑性の管理を浮き彫りにしています。

組織がマイクロサービスと内部APIに依存するにつれて、コンポーネント間の暗黙の信頼は、適切に制御されない場合、セキュリティリスクをもたらす可能性があります。

これが、ゼロトラストアプローチを採用することで、サービス間の暗黙の信頼を排除し、すべてのインタラクションを継続的に検証することでリスクを低減できる場所です。