GitHub устранила критическую уязвимость с доступом к миллионам частных репозиториев

В начале марта GitHub устранил критическую уязвимость удалённого выполнения кода (CVE-2026-3854), которая могла позволить злоумышленникам получить доступ к миллионам частных репозиториев.

Об этой уязвимости сообщили 4 марта 2026 года исследователи из компании Wiz, занимающейся кибербезопасностью, в рамках программы вознаграждения за обнаружение ошибок GitHub. Главный специалист по информационной безопасности GitHub Алексис Уэльс объявил, что команда безопасности компании воспроизвела и подтвердила её на протяжении 40 минут и развернула исправление менее чем через два часа после получения сообщения.

Уязвимость CVE-2026-3854 затрагивает GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud с Data Residency, GitHub Enterprise Cloud с Enterprise Managed Users и GitHub Enterprise Server. Для успешной эксплуатации достаточно одной специально созданной вредоносной команды 'git push', которая может предоставить злоумышленникам с правами на отправку данных цельный доступ на чтение/запись к частным репозиториям на GitHub.com или уязвимым серверам GitHub Enterprise.

Уязвимость заключается в том, как GitHub обрабатывает параметры, предоставляемые пользователями во время операций git push: передаваемые значения включаются во внутренние метаданные сервера без в достаточной степений проверки, что даёт возможность злоумышленникам внедрять дополнительные поля, которым доверяет нижестоящий служба. Как пояснил Уэльс, злоумышленник может обойти защиту песочницы и выполнить произвольный исходник на сервере, обрабатывающем push, путём объединения нескольких внедрённых значений. «Эксплуатация может привести к раскрытию кодовых баз почти всех крупнейших предприятий мира, что делает эту уязвимость одной из самых серьёзных уязвимостей SaaS, когда-либо обнаруженных», — объявил представитель Wiz.

«На GitHub.com эта уязвимость позволяла удалённо выполнять код на узлах общего хранилища. Мы подтвердили, что миллионы общедоступных и частных репозиториев, принадлежащих другим пользователям и организациям, были доступны на затронутых узлах. На GitHub Enterprise Server та же уязвимость позволяет полностью скомпрометировать хост, включая доступ ко всем размещённым репозиториям и внутренним секретам», — добавил исследователь безопасности Wiz Саги Цадик.

Цадик равным образом предупредил, что, хотя GitHub устранил проблему на GitHub.com на протяжении 6 часов, администраторам GitHub Enterprise Server (GHES) следует немедленно обновиться, поскольку приблизительно 88% доступных экземпляров GHES остаются уязвимыми.

Однако, вопреки серьёзность уязвимости, криминалистическое расследование не выявило никаких доказательств её эксплуатации до публикации информации. В GitHub заявили, что информация телеметрии подтверждают это.

«Для GitHub Enterprise Server мы подготовили патчи для всех поддерживаемых версий (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 и более поздних) и опубликовали информацию об уязвимости CVE-2026-3854. Они доступны уже сегодня, и мы настоятельно рекомендуем всем клиентам GHES немедленно обновиться», — заключил Уэльс. 

Осенью в Wiz провели расследование атаки на цепочку поставок NPM с помощью Nx «s1ngularity», в результате которой были украдены тысячи токенов учётных записей и секретов репозиториев.

Nx — популярная платформа сборки с открытым исходным кодом и инструмент управления монорепозиториями, широко используемый в корпоративных экосистемах JavaScript/TypeScript. В индексе пакетов NPM еженедельно регистрируется более 5,5 млн загрузок.

26 августа 2025 года злоумышленники воспользовались уязвимостью рабочего процесса GitHub Actions в репозитории Nx, чтобы опубликовать вредоносную версию пакета в NPM, которая включала скрипт, выполняемый после установки ('telemetry.js'). Вредоносное ПО telemetry.js — это похититель учётных данных, нацеленный на системы Linux и macOS. Он пытался украсть токены GitHub, токены npm, ключи SSH, файлы .env, криптокошельки и загрузить секретные информация в публичные репозитории GitHub под названием «s1ngularity-repository».