Vulnérabilité critique dans Git : Exécution de code à distance

Introduction

Le 4 mars 2026, GitHub a reçu un rapport de vulnérabilité via son programme de chasse aux bogues, décrivant une faille critique d'exécution de code à distance affectant plusieurs de ses services, dont github.com et GitHub Enterprise Server.

Contexte Technique

La vulnérabilité exploitait une faille dans la façon dont les options de push Git étaient traitées, permettant à un attaquant d'exécuter des commandes arbitraires sur le serveur GitHub en utilisant une option de push spécialement conçue. Cette faille était due à une insuffisance de nettoyage des caractères dans les métadonnées internes.

Le processus de push Git implique plusieurs services internes, et les métadonnées de push, telles que le type de référentiel et l'environnement de traitement, sont transmises entre ces services via un protocole interne. Les options de push Git, une fonctionnalité intentionnelle, permettent aux clients d'envoyer des chaînes de caractères clé-valeur au serveur lors d'un push.

Analyse et Implications

La faille de sécurité a été corrigée en moins de deux heures après la réception du rapport, et une enquête approfondie a conclu qu'il n'y a eu aucune exploitation de cette vulnérabilité avant sa correction. Les clients de GitHub Enterprise Server sont invités à mettre à jour leur version pour se protéger contre cette faille.

La vulnérabilité a été assignée le code CVE-2026-3854. Les chercheurs de Wiz qui ont découvert et signalé cette faille recevront l'une des récompenses les plus élevées dans l'histoire du programme de chasse aux bogues de GitHub.

Perspective

Cette faille de sécurité souligne l'importance de la défense en profondeur et de la validation des entrées utilisateur pour prévenir les attaques d'exécution de code à distance. Les utilisateurs de GitHub et les clients de GitHub Enterprise Server doivent rester vigilants et appliquer les mises à jour de sécurité pour protéger leurs données et leurs systèmes.

Il est essentiel de suivre les meilleures pratiques de sécurité, telles que la limitation des accès et la surveillance des journaux, pour détecter et prévenir les activités anormales. La collaboration entre les chercheurs en sécurité, les entreprises et les utilisateurs est cruciale pour assurer la sécurité des systèmes et des données.