一見ありふれた git push コマンドは、従来考えられていたよりもはるかに危険なベクトルとして浮かび上がりました。GitHub インフラストラクチャ内で重大な脆弱性が発見され、日常的なコード操作が強力な悪用ポイントに変わってしまいました。
この異常は Wiz リサーチチームによって特定され、公開されました。2026年3月4日に Bug Bounty プログラムを通じて公開されました。わずか 40 分以内に、GitHub の内部スペシャリストが攻撃の再現に成功し、その重大な深刻度を確認しました。2 時間以内に、同社はプライマリプラットフォーム用の修復を配布し、ログの包括的なフォレンジック監査を開始しました。
脆弱性の本質は、git push コマンドパラメータの体系的な処理に存在していました。コード送信中、クライアントは追加の「キーと値」のペアを中継する可能性があります。このメタデータはその後、プラットフォーム コンポーネント間の内部サービス通信に統合されます。これらの値の検証は不十分であることが判明しました。攻撃者は特殊な区切り文字を注入して、悪意のあるフィールドをサービスデータに組み込むことができ、システムはそれを信頼できるテレメトリとして誤って処理していました。
その後、悪用は連鎖しました。注入された値は動作環境の操作を容易にし、サンドボックス制限の回避と GitHub サーバーでのリモートコード実行(RCE)に至りました。修復の後、ユーザーが提供するパラメータは、内部データに影響を与えないことを確認するために厳密にサニタイズされるようになりました。脆弱性は CVE-2026-3854 に指定され、GitHub Enterprise Server の対応する更新がリリースされました。
脅威を中和した後、セキュリティチームは過去の悪用の証拠について履歴データを精査しました。攻撃は独特なフォレンジック署名を残します。なぜなら、サーバーは標準的なユーティリティの使用中に遭遇したことのない異常な動作モードに強制されるからです。ログ分析により、そのようなインスタンスは研究者の診断テストのみに関連していることが明らかになりました。悪意のある侵入の証拠は発見されず、ユーザーデータは危険にさらされることはありませんでした。
Androidセキュリティアプリ
調査はさらに、サーバー環境内の残存するコード断片を明らかにしました。これは以前のデプロイメント移行後に削除されるべきものでした。この遺物は、将来の同様の見落としの潜在的な影響を減らすためにすぐに削除されました。GitHub のクラウドベースの反復は自動的に更新されていますが、GitHub Enterprise Server の管理者は最近のパッチのインストールを急ぎ、プッシュパラメータ内の「;」文字を含む疑わしいコマンドについてログを監査することを勧められています。
