⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma vulnerabilidade crítica de segurança que afeta GitHub.com e GitHub Enterprise Server, que poderia permitir que um usuário autenticado obtivesse execução remota de código com um único comando “git push”.
A falha, rastreada como CVE-2026-3854 (pontuação CVSS: 8,7), é um caso de injeção de comando que poderia permitir que um invasor com acesso push a um repositório conseguisse a execução remota de código na instância.
“Durante uma operação git push, os valores das opções push fornecidos pelo usuário não foram devidamente higienizados antes de serem incluídos nos cabeçalhos de serviço internos”, de acordo com um comunicado do GitHub sobre a vulnerabilidade. "Como o formato do cabeçalho interno usava um caractere delimitador que também poderia aparecer na entrada do usuário, um invasor poderia injetar campos de metadados adicionais por meio de valores de opções push criados."
A empresa de segurança em nuvem de propriedade do Google, Wiz, foi creditada por descobrir e relatar o problema em 4 de março de 2026, com o GitHub validando e implantando uma correção no GitHub.com em duas horas.
A vulnerabilidade também foi corrigida nas versões 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 ou posterior do GitHub Enterprise Server. Não há evidências de que o problema tenha sido explorado em um contexto malicioso.
De acordo com o GitHub, o problema afeta GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud com residência de dados, GitHub Enterprise Cloud com usuários gerenciados corporativos e GitHub Enterprise Server.
Basicamente, o problema decorre do fato de que as opções git push fornecidas pelo usuário não são adequadamente higienizadas antes que os valores sejam incorporados ao cabeçalho interno do X-Stat. Como o formato de metadados internos depende de ponto-e-vírgula como caractere delimitador que também pode aparecer na entrada do usuário, um malfeitor pode explorar esse descuido para injetar comandos arbitrários e executá-los.
“Ao encadear vários valores injetados, os pesquisadores demonstraram que um invasor poderia substituir o ambiente em que o push foi processado, ignorar as proteções de sandbox que normalmente restringem a execução do gancho e, por fim, executar comandos arbitrários no servidor”, disse o diretor de segurança da informação do GitHub, Alexis Wales.
Wiz, em um anúncio coordenado, observou que o problema é “notavelmente fácil” de explorar, acrescentando que permite a execução remota de código em nós de armazenamento compartilhado. Cerca de 88% dos casos estão atualmente vulneráveis ao problema no momento da divulgação pública. A cadeia de execução remota de código reúne três injeções -
Injete um valor rails_env de não produção para ignorar o sandbox
Injete custom_hooks_dir no controle para redirecionar o diretório do gancho
Injete repo_pre_receive_hooks com uma entrada de gancho criada que aciona a travessia do caminho para executar comandos arbitrários como o usuário git
“Com a execução de código sem sandbox como usuário git, tínhamos controle total sobre a instância GHES, incluindo acesso de leitura/gravação do sistema de arquivos e visibilidade na configuração interna do serviço”, disse o pesquisador de segurança da Wiz, Sagi Tzadik.
Quanto ao GitHub.com, um sinalizador de modo empresarial – definido como “true” para GitHub Enterprise Server – é padronizado como “false”, tornando o caminho dos ganchos personalizados inativo. Mas como esse sinalizador também é passado no cabeçalho X-Stat, ele é igualmente injetável usando o mesmo mecanismo, resultando também na execução de código no GitHub.com.
Para piorar a situação, dada a arquitetura multilocatário do GitHub e sua infraestrutura de back-end compartilhada, a empresa apontou que a obtenção da execução de código no GitHub.com permitiu a exposição entre locatários, permitindo efetivamente que um invasor lesse milhões de repositórios no nó de armazenamento compartilhado, independentemente da organização ou do usuário.
Considerando a gravidade do CVE-2026-3854, os usuários são aconselhados a aplicar a atualização imediatamente para obter proteção ideal.
“Um único comando git push foi suficiente para explorar uma falha no protocolo interno do GitHub e conseguir a execução de código na infraestrutura de backend”, disse Wiz. “Quando vários serviços escritos em diferentes linguagens passam dados através de um protocolo interno compartilhado, as suposições que cada serviço faz sobre esses dados tornam-se uma superfície crítica de ataque”.
"Encorajamos as equipes que constroem arquiteturas multisserviços a auditar como a entrada controlada pelo usuário flui através de protocolos internos - especialmente onde a configuração crítica para a segurança é derivada de formatos de dados compartilhados."
A falha, rastreada como CVE-2026-3854 (pontuação CVSS: 8,7), é um caso de injeção de comando que poderia permitir que um invasor com acesso push a um repositório conseguisse a execução remota de código na instância.
“Durante uma operação git push, os valores das opções push fornecidos pelo usuário não foram devidamente higienizados antes de serem incluídos nos cabeçalhos de serviço internos”, de acordo com um comunicado do GitHub sobre a vulnerabilidade. "Como o formato do cabeçalho interno usava um caractere delimitador que também poderia aparecer na entrada do usuário, um invasor poderia injetar campos de metadados adicionais por meio de valores de opções push criados."
A empresa de segurança em nuvem de propriedade do Google, Wiz, foi creditada por descobrir e relatar o problema em 4 de março de 2026, com o GitHub validando e implantando uma correção no GitHub.com em duas horas.
A vulnerabilidade também foi corrigida nas versões 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 ou posterior do GitHub Enterprise Server. Não há evidências de que o problema tenha sido explorado em um contexto malicioso.
De acordo com o GitHub, o problema afeta GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud com residência de dados, GitHub Enterprise Cloud com usuários gerenciados corporativos e GitHub Enterprise Server.
Basicamente, o problema decorre do fato de que as opções git push fornecidas pelo usuário não são adequadamente higienizadas antes que os valores sejam incorporados ao cabeçalho interno do X-Stat. Como o formato de metadados internos depende de ponto-e-vírgula como caractere delimitador que também pode aparecer na entrada do usuário, um malfeitor pode explorar esse descuido para injetar comandos arbitrários e executá-los.
“Ao encadear vários valores injetados, os pesquisadores demonstraram que um invasor poderia substituir o ambiente em que o push foi processado, ignorar as proteções de sandbox que normalmente restringem a execução do gancho e, por fim, executar comandos arbitrários no servidor”, disse o diretor de segurança da informação do GitHub, Alexis Wales.
Wiz, em um anúncio coordenado, observou que o problema é “notavelmente fácil” de explorar, acrescentando que permite a execução remota de código em nós de armazenamento compartilhado. Cerca de 88% dos casos estão atualmente vulneráveis ao problema no momento da divulgação pública. A cadeia de execução remota de código reúne três injeções -
Injete um valor rails_env de não produção para ignorar o sandbox
Injete custom_hooks_dir no controle para redirecionar o diretório do gancho
Injete repo_pre_receive_hooks com uma entrada de gancho criada que aciona a travessia do caminho para executar comandos arbitrários como o usuário git
“Com a execução de código sem sandbox como usuário git, tínhamos controle total sobre a instância GHES, incluindo acesso de leitura/gravação do sistema de arquivos e visibilidade na configuração interna do serviço”, disse o pesquisador de segurança da Wiz, Sagi Tzadik.
Quanto ao GitHub.com, um sinalizador de modo empresarial – definido como “true” para GitHub Enterprise Server – é padronizado como “false”, tornando o caminho dos ganchos personalizados inativo. Mas como esse sinalizador também é passado no cabeçalho X-Stat, ele é igualmente injetável usando o mesmo mecanismo, resultando também na execução de código no GitHub.com.
Para piorar a situação, dada a arquitetura multilocatário do GitHub e sua infraestrutura de back-end compartilhada, a empresa apontou que a obtenção da execução de código no GitHub.com permitiu a exposição entre locatários, permitindo efetivamente que um invasor lesse milhões de repositórios no nó de armazenamento compartilhado, independentemente da organização ou do usuário.
Considerando a gravidade do CVE-2026-3854, os usuários são aconselhados a aplicar a atualização imediatamente para obter proteção ideal.
“Um único comando git push foi suficiente para explorar uma falha no protocolo interno do GitHub e conseguir a execução de código na infraestrutura de backend”, disse Wiz. “Quando vários serviços escritos em diferentes linguagens passam dados através de um protocolo interno compartilhado, as suposições que cada serviço faz sobre esses dados tornam-se uma superfície crítica de ataque”.
"Encorajamos as equipes que constroem arquiteturas multisserviços a auditar como a entrada controlada pelo usuário flui através de protocolos internos - especialmente onde a configuração crítica para a segurança é derivada de formatos de dados compartilhados."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #descobrem #falha #crítica #do #github #cve20263854 #rce #que #pode #ser #explorada #por #meio #de #git #push #único
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário