В начале марта GitHub устранил критическую уязвимость удалённого выполнения кода (CVE-2026-3854), которая могла позволить злоумышленникам получить доступ к миллионам частных репозиториев.
Об этой уязвимости сообщили 4 марта 2026 года исследователи из компании Wiz, занимающейся кибербезопасностью, в рамках программы вознаграждения за обнаружение ошибок GitHub. Главный специалист по информационной безопасности GitHub Алексис Уэльс заявил, что команда безопасности компании воспроизвела и подтвердила её в течение 40 минут и развернула исправление менее чем через два часа после получения сообщения.
Уязвимость CVE-2026-3854 затрагивает GitHub.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud с Data Residency, GitHub Enterprise Cloud с Enterprise Managed Users и GitHub Enterprise Server. Для успешной эксплуатации достаточно одной специально созданной вредоносной команды ‘git push’, которая может предоставить злоумышленникам с правами на отправку данных полный доступ на чтение/запись к частным репозиториям на GitHub.com или уязвимым серверам GitHub Enterprise.
Уязвимость заключается в том, как GitHub обрабатывает параметры, предоставляемые пользователями во время операций git push: передаваемые значения включаются во внутренние метаданные сервера без достаточной проверки, что позволяет злоумышленникам внедрять дополнительные поля, которым доверяет нижестоящий сервис. Как пояснил Уэльс, злоумышленник может обойти защиту песочницы и выполнить произвольный код на сервере, обрабатывающем push, путём объединения нескольких внедрённых значений. «Эксплуатация может привести к раскрытию кодовых баз почти всех крупнейших предприятий мира, что делает эту уязвимость одной из самых серьёзных уязвимостей SaaS, когда-либо обнаруженных», — заявил представитель Wiz.
«На GitHub.com эта уязвимость позволяла удалённо выполнять код на узлах общего хранилища. Мы подтвердили, что миллионы общедоступных и частных репозиториев, принадлежащих другим пользователям и организациям, были доступны на затронутых узлах. На GitHub Enterprise Server та же уязвимость позволяет полностью скомпрометировать сервер, включая доступ ко всем размещённым репозиториям и внутренним секретам», — добавил исследователь безопасности Wiz Саги Цадик.
Цадик также предупредил, что, хотя GitHub устранил проблему на GitHub.com в течение 6 часов, администраторам GitHub Enterprise Server (GHES) следует немедленно обновиться, поскольку около 88% доступных экземпляров GHES остаются уязвимыми.
Однако, несмотря на серьёзность уязвимости, криминалистическое расследование не выявило никаких доказательств её эксплуатации до публикации информации. В GitHub заявили, что данные телеметрии подтверждают это.
«Для GitHub Enterprise Server мы подготовили патчи для всех поддерживаемых версий (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 и более поздних) и опубликовали информацию об уязвимости CVE-2026-3854. Они доступны уже сегодня, и мы настоятельно рекомендуем всем клиентам GHES немедленно обновиться», — заключил Уэльс.
Осенью в Wiz провели расследование атаки на цепочку поставок NPM с помощью Nx «s1ngularity», в результате которой были украдены тысячи токенов учётных записей и секретов репозиториев.
Nx — популярная система сборки с открытым исходным кодом и инструмент управления монорепозиториями, широко используемый в корпоративных экосистемах JavaScript/TypeScript. В индексе пакетов NPM еженедельно регистрируется более 5,5 млн загрузок.
26 августа 2025 года злоумышленники воспользовались уязвимостью рабочего процесса GitHub Actions в репозитории Nx, чтобы опубликовать вредоносную версию пакета в NPM, которая включала скрипт, выполняемый после установки (‘telemetry.js’). Вредоносное ПО telemetry.js — это похититель учётных данных, нацеленный на системы Linux и macOS. Он пытался украсть токены GitHub, токены npm, ключи SSH, файлы .env, криптокошельки и загрузить секретные данные в публичные репозитории GitHub под названием «s1ngularity-repository».
ссылка на оригинал статьи https://habr.com/ru/articles/1029946/