Introduction
Une vulnérabilité critique (CVE-2026-3854) a été découverte dans l'infrastructure Git interne de GitHub, pouvant affecter à la fois GitHub.com et GitHub Enterprise Server. Cette faille de sécurité permet à tout utilisateur authentifié d'exécuter des commandes arbitraires sur les serveurs backend de GitHub avec une seule commande git push.
Contexte Technique
La vulnérabilité est due à une faille d'injection dans le protocole interne de GitHub, permettant à un utilisateur de injecter des champs dans l'en-tête X-Stat sans sanitisation appropriée. Cela peut conduire à l'exécution de code arbitraire sur les serveurs backend de GitHub. L'architecture de GitHub implique plusieurs composants, notamment babeld, gitauth, gitrpcd et le hook de pré-réception, qui interagissent via l'en-tête X-Stat.
Analyse et Implications
L'exploitation de cette vulnérabilité peut avoir des implications graves, notamment l'exécution de code arbitraire sur les serveurs partagés de stockage de GitHub.com et la compromission totale des serveurs GitHub Enterprise Server, y compris l'accès à tous les référentiels hébergés et les secrets internes. GitHub a corrigé cette vulnérabilité sur GitHub.com en moins de 6 heures et a publié des correctifs pour toutes les versions prises en charge de GitHub Enterprise Server.
Perspective
Il est essentiel pour les administrateurs de GitHub Enterprise Server de mettre à jour leurs instances vers la version 3.19.3 ou ultérieure pour corriger cette vulnérabilité. Les utilisateurs de GitHub.com n'ont pas besoin de prendre d'action. Cette découverte souligne l'importance de la recherche de sécurité et de la collaboration entre les chercheurs et les entreprises pour identifier et corriger les vulnérabilités avant qu'elles ne soient exploitées.
